PAIEŠKA:     
 
logo
 
UAB “DRUSKININKŲ VANDENYS” ASMENS DUOMENŲ TVARKYMO TAISYKLĖS Priedas Nr. 1
Priedas Nr.1
PATVIRTINTA
UAB „Druskininkų vandenys" direktoriaus
2018 m. _spalio_ mėn. 10 d. Įsakymu Nr. 19

 

UAB "DRUSKININKŲ VANDENYS"
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS


I SKYRIUS
BENDROSIOS NUOSTATOS

1. UAB „Druskininkų vandenys" (toliau - Bendrovė) Asmens duomenų tvarkymo taisyklės (toliau - Taisyklės) nustato Bendrovės vykdomų klientų asmens duomenų rinkimo, naudojimo, tvarkymo ir saugojimo principus, klientų asmens duomenų tvarkymo tikslus ir priemones bei kas, kokiais tikslais gali susipažinti su klientų asmens duomenimis, užtikrinant Lietuvos Respublikos ir Europos Sąjungos teisės aktų reikalavimus.
2. Vykdant asmens duomenų tvarkymą Bendrovėje, vadovaujamasi Europos Parlamento ir Tarybos Reglamento (ES) 2016/679 nuostatomis ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.
3. Duomenų valdytojas - UAB „Druskininkų vandenys" (į.k. 301500997, M. K. Čiurlionio g. 115, Druskininkai).

II SKYRIUS
SĄVOKOS

4. Asmens duomenys - bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
5. Duomenų subjektas - asmuo, kuriam priklauso Taisyklėse nurodytais tikslais tvarkomi asmens duomenys.
6. Duomenų subjekto sutikimas - bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
7. Duomenų tvarkymas - bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
8. Duomenų tvarkytojas - fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
9. Duomenų valdytojas - fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones. Duomenų valdytojas yra Bendrovė.
10. Reglamentas - 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos Reglamentas (ES) 2016/679.

III SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI

11. Bendrovė, vadovaudamasi Lietuvos Respublikos ir Europos Sąjungos teisės aktais bei šiomis Taisyklėmis, tvarko asmens duomenis teisėtu, sąžiningu ir skaidriu būdu, renka juos nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir tik tiek, kiek reikia siekiant pasiekti tikslus, dėl kurių jie tvarkomi.
12. Bendrovė asmens duomenis tvarko turėdama duomenų subjekto sutikimą, vykdydama su duomenų subjektais sudarytas vartojimo sutartis, atlikdama užduotis, vykdomas viešojo intereso labui arba kai tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo tikslų.
13. Bendrovės, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens arba kuriems šių Taisyklių arba Bendrovės vadovo įsakymo pagrindu suteikta prieiga prie asmens duomenų, privalo laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.
14. Bendrovė turi teisę duomenų tvarkymo veiksmams (pavyzdžiui, duomenų rinkimo, grupavimo, atsakymų rengimo tikslais) pasitelkti duomenų tvarkytojus. Duomenų tvarkytojai atlieka duomenų subjektų asmens duomenų tvarkymo veiksmus, jiems pavestus rašytine sutartimi arba atskiru nurodymu, išskyrus atvejus, kai įstatymai ir kiti teisės aktai nustato kitaip. Duomenų tvarkytojai privalo garantuoti reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi.


IV SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAS IR APIMTIS

15. Bendrovė tvarko klientų vardą, pavardę, asmens kodą, gimimo datą, asmens tapatybės dokumento numerį, išdavimo datą ir vietą, gyvenamosios vietos adresą, telefono numerį, elektroninio pašto adresą, sutarties numerį, skaitiklio numerį, paslaugos teikimo adresą, informaciją apie suteiktas paslaugas (kaina, kiekis, skaitliukų parodymai, terminai), gyventojų skaičių, žymą apie taikytiną kompensaciją (komensacijos dydis, data, terminas), duomenis apie atsiskaitymą už suteiktas paslaugas (mokėjimo data, mokėjimo suma, likusi nepadengta suma, apmokėjimo būdas), teismo sprendimo datą, numerį, priteistos skolos dydį, duomenis apie vykdomus antstolio išieškojimo veiksmus.
16. Bendrovė klientų asmens duomenis gauna tiesiogiai iš duomenų subjektų, iš trečiųjų asmenų - iš apylinkės ir apygardos teismų (teismo sprendimo data, numeris, priteistos skolos dydis duomenys), iš antstolio (apie vykdomus antstolio išieškojimo veiksmus), iš kitų trečiųjų asmenų, jei tai neprieštarauja teisės aktų reikalavimams (pavyzdžiui, valstybės registrų). Be teisėto pagrindo gauti duomenų subjekto asmens duomenys Bendrovėje negali būti tvarkomi.
17. Bendrovė klientų asmens duomenis gauna iš Druskininkų savivaldybės (pažyma apie teisę į kompensaciją - vardas, pavardė, vidutinės mėnesinės pajamos, kompensacijos dydis, kartu gyvenančių asmenų skaičius data, terminas). Duomenys gaunami vadovaujantis Lietuvos Respublikos piniginės socialinės paramos nepasiturintiems gyventojams įstatymu, taip pat pagal socialinės apsaugos ir darbo ministro 2012 m. sausio 25 d. įsakymu Nr. A1-35 „Dėl dokumentų, nustatytų Lietuvos Respublikos piniginės socialinės paramos nepasiturintiems gyventojams įstatyme, formų patvirtinimo".
18. Duomenys apie klientui pritaikytą kompensaciją (vardas, pavardė, bendrai gyvenančių asmenų skaičius, suteiktos paslaugos, paslaugų kaina, kompensacijos dydis, laikotarpis, už kurį pritaikyta kompensacija) teikiamoms paslaugoms teikiami Druskininkų savivaldybės administracijai. Duomenys teikiami vadovaujantis Lietuvos Respublikos piniginės socialinės paramos nepasiturintiems gyventojams įstatymu, taip pat pagal socialinės apsaugos ir darbo ministro 2012 m. sausio 25 d. įsakymą Nr. A1-35 „Dėl dokumentų, nustatytų Lietuvos Respublikos piniginės socialinės paramos nepasiturintiems gyventojams įstatyme, formų patvirtinimo".
19. Duomenys apie skolininką ir skolą teikiami teismams ir antstoliams Civilinio proceso kodekso nustatyta tvarka, siekiant priteisti ir išieškoti įsiskolinimą už suteiktas paslaugas. Tais atvejais, kai sudaromos paslaugų sutartys su socialinio būsto nuomininkais, asmens duomenys apie įsiskolinimą už paslaugas (vardas, pavardė, kliento kodas, adresas, skolos dydis, terminai, delspinigiai, taip pat kita su įsiskolinimu susijusi informacija) teikiama socialinio būsto savininkui - Druskininkų savivaldybės administracijai.
20. Bendrovė gali teikti klientų, kurie yra skolingi, duomenis skolų išieškojimo įmonėms tik tuo atveju, jeigu ji klientui paštu ir/arba elektroninių ryšių priemonėmis pateikė rašytinį priminimą apie įsipareigojimų neįvykdymą ir per 30 kalendorinių dienų nuo dienos, kurią Bendrovė išsiuntė (pateikė) duomenų subjektui priminimą skola liko nepadengta ir (arba) mokėjimo terminas nebuvo atidėtas arba duomenų subjektas pagrįstai neginčijo skolos.

V SKYRIUS
KLIENTŲ ASMENS DUOMENŲ RINKIMAS IR TVARKYMAS

21. Aktyvioje duomenų bazėje asmens duomenys tvarkomi nuo kliento duomenų pateikimo momento, iki paslaugų suteikimo momento. Suėjus duomenų saugojimo aktyvioje duomenų bazėje terminui, asmens duomenys perkeliami į archyvą ir teisės aktų nustatyta tvarka saugojami 10 metų nuo perkėlimo dienos, jei galiojantys teisės aktai nenumato kitokių terminų. Suėjus archyvavimo terminui popierine ir skaitmenine forma duomenys sunaikinami Bendrovės įgalioto darbuotojo.
22. Bendrovės klientų asmens duomenis tvarko Bendrovės vadovo įsakymu paskirti darbuotojai.
23. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal Bendrovės ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį, prioritetas turi būti teikiamas automatiniam duomenų teikimui, o teikiant asmens duomenis pagal duomenų gavėjo prašymą, - duomenų teikimui elektroninių ryšių priemonėmis.
24. Asmens duomenys duomenų gavėjams, esantiems Europos Sąjungos valstybėse narėse ir kitose Europos ekonominės erdvės valstybėse, teikiami tomis pačiomis sąlygomis ir tvarka kaip ir duomenų gavėjams, esantiems Lietuvos Respublikoje.
25. Teikiant asmens duomenis į trečiąją valstybę būtina teisės aktų nustatyta tvarka gauti Valstybinės duomenų apsaugos inspekcijos leidimą.
26. Leidimas yra išduodamas, jeigu duomenų gavėjo valstybėje yra užtikrintas tinkamas asmens duomenų teisinės apsaugos lygis. Asmens duomenų teisinės apsaugos lygis vertinamas atsižvelgiant į visas aplinkybes, susijusias su duomenų teikimu, ypač į trečiojoje valstybėje, į kurią ketinami teikti asmens duomenys, galiojančius įstatymus, kitus teisės aktus bei Bendrovės parengtus dokumentus, užtikrinančius asmens duomenų teisinę apsaugą, į teikiamų duomenų pobūdį, duomenų tvarkymo būdus, tikslus, trukmę, saugumo priemones, kurių bus laikomasi toje valstybėje.
27. Valstybinė duomenų apsaugos inspekcija išduoda leidimą teikti asmens duomenis į trečiąją valstybę, kuri neužtikrina tinkamo asmens duomenų teisinės apsaugos lygio, jeigu Bendrovė yra nustačiusi tinkamas duomenų apsaugos priemones asmens privataus gyvenimo neliečiamumui, kitoms duomenų subjekto teisėms apsaugoti ir įgyvendinti. Tokios apsaugos priemonės turi būti išdėstytos asmens duomenų teikimo į trečiąsias valstybes sutartyje arba kitame rašytinės formos dokumente.
28. Duomenų tvarkymo veiksmus atlieka Bendrovės vadovo įsakymu paskirti darbuotojai arba Bendrovės pasitelkti duomenų tvarkytojai. Prieiga prie asmens duomenų suteikiama tik Bendrovės vadovo įsakymu įgaliotiems asmenims arba Bendrovės paskirtiems duomenų tvarkytojams. Prieiga prie asmens duomenų suteikiama tik tiems asmenims, kuriems asmens duomenys yra reikalingi jų darbo funkcijoms vykdyti.
29. Bendrovė savo nuožiūra turi teisę bet kada paskirti arba pakeisti paskirtą duomenų tvarkytoją.
30. Prieigą turintys atsakingi asmenys su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti jiems yra suteiktos teisės.
31. Bendrovė, laikydamasi teisės aktų reikalavimų, gali perduoti tvarkomus asmens duomenis:
31.1. Tretiesiems asmenims, teikiantiems Bendrovei klientų aptarnavimo, programinės įrangos priežiūros, apskaitos ir kitas paslaugas (paslaugų teikėjams), siekiant užtikrinti tinkamą Bendrovės paslaugų teikimą, valdymą ir vystymą. Tokiais atvejais Bendrovė imasi reikiamų priemonių siekiant užtikrinti, kad pasitelkti duomenų tvarkytojai tvarkytų teikiamus asmens duomenis tik tais tikslais, dėl kurių šie buvo teikti, užtikrinant tinkamas technines ir organizacines priemones.
31.2. Valdžios arba teisėsaugos įstaigoms, policijai arba priežiūros institucijoms, kai tai privaloma pagal galiojančius teisės aktus ar teismo sprendimą arba siekiant užtikrinti Bendrovės teises arba Bendrovės klientų, darbuotojų ir turto saugumą.
32. Bendrovė užtikrina, kad Bendrovėje paskirtas duomenų apsaugos pareigūnas būtų įtrauktas į su asmens duomenų tvarkymu Bendrovėje susijusius veiksmus bei informuojamas apie pažeidimus ir skundus dėl asmens duomenų apsaugos.
33. Duomenų apsaugos pareigūnas atlieka šias užduotis:
33.1. Informuoja Bendrovę arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir konsultuoja asmens duomenų apsaugos klausimais;
33.2. Stebi, kaip laikomasi Reglamento, kitų Europos Sąjungos arba Lietuvos Respublikos duomenų apsaugą reglamentuojančių nuostatų ir Bendrovės politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;
33.3. Paprašius konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal Reglamento 35 straipsnį;
33.4. Bendradarbiauja su priežiūros institucija;
33.5. Atlieka kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant Reglamento 36 straipsnyje nurodytas išankstines konsultacijas ir prireikus konsultuoja kitais klausimais.
34. Duomenų apsaugos pareigūnas, vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.
35. Duomenų apsaugos pareigūnas atlieka tik Reglamento 39 straipsnyje įtvirtintas užduotis ir nėra asmeniškai atsakingas už Reglamento nuostatų nesilaikymą Bendrovei tvarkant asmens duomenis.

VI SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

36. Bendrovė užtikrina duomenų subjektų teises pagal Reglamentą ir kitus teisės aktus.
37. Bendrovė duomenų gavimo metu duomenų subjektui nurodo duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybę ir kontaktinius duomenis, duomenų apsaugos pareigūno kontaktinius duomenis, duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą, asmens duomenų gavėjus arba jų kategorijas.
38. Duomenų subjektas, pateikęs Bendrovei asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius 1 metus. Informacija apie tvarkomus asmens duomenis teikiama suinteresuotam asmeniui atvykus į Bendrovę arba kitais būdais, kuriuos reglamentuoja šios Taisyklės ar kiti Bendrovės vidiniai aktai.
39. Asmens duomenys duomenų subjektui susipažinti teikiami, taip pat taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi gavus duomenų subjekto prašymą ir jo asmens duomenis patvirtinančius dokumentus arba elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį.
40. Bendrovė, gavusi duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu.
41. Duomenų subjektui teikiant Bendrovės tvarkomus duomenų subjekto asmens duomenis, Bendrovė užtikrina tinkamas organizacines ir technines duomenų saugumo priemones, kad iš pateiktų duomenų nebūtų galima identifikuoti kitų duomenų subjektų.
42. Bendrovės tvarkomi duomenų subjekto asmens duomenys kartą per kalendorinius metus duomenų subjektui teikiami neatlygintinai. Antrąkart metuose duomenų subjektui teikiant asmens duomenis, duomenų subjektas informuojamas apie nustatytą atlyginimo dydį (pavyzdžiui, už CD, DVD ar kitos laikmenos, kurioje yra įrašo kopija, gavimą, dokumentų rengimą ir t. t.), duomenų teikimo apmokėjimo tvarką. Teikiant duomenis atlygintinai vadovaujamasi principu, kad atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų bei Duomenų teikimo duomenų subjektui atlyginimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2011 m. rugsėjo 14 d. nutarimu Nr. 1074.
43. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Bendrovę, Bendrovė nedelsdama privalo asmens duomenis patikrinti ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdama ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
44. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į Bendrovę, Bendrovė nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdama sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
45. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti; jei duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis; jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.
46. Bendrovė nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas, praneša duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.
47. Bendrovei abejojant duomenų subjekto pateiktų asmens duomenų teisingumu, Bendrovė sustabdo tokių duomenų tvarkymo veiksmus, duomenis patikrina ir patikslina. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.
48. Bendrovė nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas, informuoja duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
49. Bendrovė duomenų subjekto prašymu praneša duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.
50. Jeigu nustatoma, kad Bendrovė duomenų subjekto asmens duomenis tvarko neteisėtai ir nesąžiningai, šie duomenys nedelsiant, tačiau ne vėliau kaip per 5 darbo dienas, sunaikinami Bendrovės iniciatyva arba duomenų subjekto prašymu.
51. Duomenų subjektas rašytinį pranešimą apie nesutikimą dėl asmens duomenų tvarkymo pateikia Bendrovei asmeniškai, paštu ar elektroninių ryšių priemonėmis. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, Bendrovė privalo nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas, neatlygintinai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.
52. Duomenų subjektas turi teisę nesutikti, kad jo asmens duomenys būtų tvarkomi, nenurodydamas nesutikimo motyvų. Bendrovė, prieš rinkdama asmens duomenis, supažindina duomenų subjektą su teise nesutikti, kad jo asmens duomenys būtų tvarkomi. Duomenų subjekto prašymu Bendrovė privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.
53. Duomenų subjektas turi teisę reikalauti, kad Bendrovė nepagrįstai nedelsdama ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tiklsus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, pateikdamas papildomą pareiškimą.
54. Duomenų subjektas turi teisę reikalauti, kad Bendrovė nepagrįstai nedelsdama ištrintų su juo susijusius asmens duomenis, o Bendrovė įpareigota nepagrįstai nedelsdama ištrinti asmens duomenis, jei tai neprieštarauja galiojantiems teisės aktams ir jei tai galima pagrįsti viena iš priežasčių:
54.1. Asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, dėl kurių jie buvo renkami ar kitaip tvarkomi;
54.2. Asmens duomenų subjektas atšaukia sutikimą, kuriuo grindžiamas asmens duomenų tvarkymas ir nėra kito teisinio pagrindo tvarkyti asmens duomenis;
54.3. Asmens duomenų subjektas nesutinka su asmens duomenų tvarkymu;
54.4. Asmens duomenys buvo tvarkomi neteisėtai;
54.5. Asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba Lietuvos Respublikos teisėje nustatytos teisinės prievolės;
55. Duomenų subjektas turi teisę reikalauti, kad Bendrovė apribotų duomenų tvarkymą, kai taikomas vienas iš šių atvejų:
55.1. Duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį Bendrovė gali patikrinti asmens duomenų tikslumą;
55.2. Asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti ir vietoj to prašo apriboti jų tvarkymą;
55.3. Bendrovei nebereikia asmens duomenų jų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
55.4. Duomenų subjektas pateikė prieštaravimą duomenų tvarkymui, kol bus patikrinta, ar Bendrovės teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
56. Duomenų subjektas, kai duomenys yra tvarkomi automatizuotomis priemonėmis, turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui (teisė į duomenų perkeliamumą), o Bendrovė, kuriai asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių.
57. Atsakymą į duomenų subjekto prašymą Bendrovė pateikia per 1 kalendorinį mėnesį nuo prašymo pateikimo dienos. Atsižvelgiant į prašymą kiekį ir sudėtingumą, šis terminas gali būti pratęstas du mėnesius.
58. Duomenų subjekto teisės įgyvendinamos vadovaujantis Bendrovės vadovo patvirtintomis Duomenų subjekto teisių įgyvendinimo taisyklėmis.
59. Dėl neteisėto asmens duomenų tvarkymo duomenų subjektai turi teisę kreiptis su skundu į Valstybinę duomenų apsaugos inspekciją.


VII SKYRIUS
KLIENTŲ ASMENS DUOMENŲ SAUGUMO TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS


60. Asmens duomenų tvarkymą reglamentuoja ir jo teisėtumą užtikrina šios Bendrovės vadovo įsakymu patvirtintos Taisyklės, kurios privalo būti aktualios, laiku atnaujinamos ir nepertraukiamą laiką galiojančios. Taisyklės turi būti peržiūrimos ir, reikalui esant, atnaujinamos ne rečiau kaip kartą per dvejus kalendorinius metus.
61. Bendrovė taiko atitinkamas technines ar organizacines priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
62. Šiame skyriuje ir kituose Bendrovės vidiniuose dokumentuose nurodytos asmens duomenų saugumo priemonės, kurios įgyvendinamos Bendrovės ir Bendrovės paskirtų duomenų tvarkytojų, siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
63. Asmens duomenų saugumo priemonės nustatomos atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos reikalavimus, galiojančius teisės aktus bei atliekant asmens duomenų rizikos vertinimą. Asmens duomenų saugumo techninės ir organizacinės priemonės gali būti, o nustačius padidėjusią riziką - privalo būti keičiamos ir/ar pildomos naujomis saugumo priemonėmis. Nustačius naujas asmens duomenų saugumo priemones, atitinkamai pakeičiamos/papildomos Taisyklės.
64. Kiekvienam darbuotojui, kuriam suteikta prieiga prie asmens duomenų, tvarkomų automatiniu būdu, turi būti suteiktas unikalus prisijungimo vardas ir vienkartinis slaptažodis, kurį pirmo prisijungimo metu privalu pasikeisti į nuolatinį slaptažodį. Nuolatinis slaptažodis negali būti trumpesnis nei 8 simboliai ir negali būti sudaromas naudojant asmeninio pobūdžio informaciją. Slaptažodis keičiamas ne rečiau kaip kartą per 2 (du) mėnesius. Slaptažodis negali kartotis su ankščiau naudotais slaptažodžiais.
65. Darbuotojas yra atsakingas už slaptažodžio konfidencialumą ir įsipareigoja jo neatskleisti tretiesiems asmenims.
66. Bendrovės vadovo įgalioti darbuotojai užtikrina, kad Bendrovėje nepertraukiamai yra naudojamos saugumo priemonės, kurios leidžia apsaugoti duomenų bazes nuo neteisėto prisijungimo elektroninių ryšių priemonėmis, fiksuoti ir kontroliuoti registravimosi bei teisių gavimo pastangas, nustatyti leistinų nepavykusių bandymų prisijungti prie duomenų bazės(-ių) skaičių.
67. Bendrovės vadovo įgalioti darbuotojai taip pat atsakingi už kompiuterinės įrangos apsaugą diegiant ir atnaujinant antivirusines programas, saugių protokolų ir (arba) slaptažodžių naudojimą, Bendrovės vadovo įgalioti darbuotojai užtikrina, kad nešiojamuosiuose kompiuteriuose, jeigu jie naudojami ne Bendrovės vidiniame duomenų perdavimo tinkle, esantys asmens duomenys turi būti apsaugoti tokiomis apsaugos priemonėmis, kurios atitiktų duomenų tvarkymo keliamą riziką.
68. Į Bendrovės patalpas, kuriose yra saugomi asmens duomenys, patenka tik Bendrovės įgalioti asmenys. Bendrovės įgalioti asmenys, nesantys Bendrovės darbuotojais, į nurodytas patalpas patenka tik kartu su įgaliotu Bendrovės darbuotoju. Klientai į patalpas, kuriose yra saugomi asmens duomenys, patenka tik kartu su darbuotoju, turinčiu darbuotojo pažymėjimą.
69. Bendrovės darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į Bendrovės vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
70. Bendrovėje įvykus duomenų saugumo incidentui, apie duomenų saugumo incidentus, saugumo priemones, kurių imtasi siekiant apsaugoti asmens duomenis, nedelsiant informuojamas Bendrovės vadovas.
71. Avarijos atveju, asmens duomenys, programinė įranga atstatomi iš atsarginių kopijų, jeigu atsarginės kopijos yra daromos. Registruojami asmens duomenų kopijų ir atkūrimo jų avarinio praradimo atveju veiksmai (kada ir kas atliko šiuos veiksmus).
72. Bendrovė, Duomenų tvarkytojai ir jų darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, privalo būti apmokyti tvarkyti asmens duomenis prieš asmens duomenų tvarkymą, taip pat privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti asmens duomenis ir būti susipažinę su duomenų tvarkymo (valdymo) sistemomis ir asmens duomenų saugą reglamentuojančiais teisės aktais, prieš asmens duomenų tvarkymą.
73. Bendrovė ir Duomenų tvarkytojas ne rečiau kaip kartą per dvejus metus inicijuoja darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, mokymą informacijos saugos klausimais. Už Duomenų tvarkytojo darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, supažindinimą su šių Taisyklių nuostatomis ir kitais asmens duomenų saugą įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas Duomenų tvarkytojas.

VIII SKYRIUS
BAIGIAMOSIOS NUOSTATOS

74. Šios Taisyklės taikomos Bendrovės darbuotojams, tvarkantiems asmens duomenis, nepriklausomai nuo jų prėmimo į darbą sąlygų ir kitiems asmenims, kurie eidami savo pareigas ar vykdydami sutartis sužino asmens duomenis.
75. Šios Taisyklės atitinkamam santykiui taikomos tiek, kiek jo nereguliuoja specialiosios Bendrovės vidaus taisyklės.
76. Už tinkamo ir teisėto asmens duomenų tvarkymo kontrolę Bendrovėje atsakingi Bendrovės vadovo įgalioti darbuotojai.
77. Visi šiose Taisyklėse nurodyti ir/ar Bendrovės vadovo įsakymu paskirti darbuotojai, turintys teisę prieiti prie asmens duomenų ir juos tvarkyti, už neteisėtus, šioms Taisyklėms, prieštaraujančius veiksmus atsako Įstatymo, Lietuvos Respublikos civilinio kodekso ir Lietuvos Respublikos darbo kodekso nustatyta tvarka.
78. Šios Taisyklės peržiūrimos ir, esant poreikiui, atnaujinamos ne rečiau kaip vieną kartą per dvejus kalendorinius metus.
79. Darbuotojai ir kiti atsakingi asmenys su Taisyklėmis bei jų pakeitimais supažindinami pasirašytinai ar kitu būdu, neabejotinai įrodančiu informavimo faktą. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už supažindinimą su Taisyklėmis atsakingas Bendrovės vadovo įsakymu paskirtas asmuo.
80. Šiose Taisyklėse nurodytas ir/arba Bendrovės vadovo įsakymu paskirtas specialistas, atsakingas už duomenų apsaugos kontrolę, neatlieka asmens duomenų administratoriaus funkcijų.

 

 

 
Sprendimas: LITS, TVS: JustPageIT.