Website design, development and marketing – belownil.com
Informuojame, kad šioje svetainėje naudojami slapukai (angl. cookies). Sutikdami, paspauskite mygtuką „Sutinku“ arba naršykite toliau. Savo duotą sutikimą bet kada galėsite atšaukti pakeisdami savo interneto naršyklės nustatymus ir ištrindami įrašytus slapukus.
1.1. Šios asmens duomenų tvarkymo taisyklės ( toliau – Taisyklės) taikomos tvarkant Duomenų subjekto duomenis automatiniu ir neautomatiniu būdu, tvarkant asmens duomenų susistemintas rinkmenas, reguliuoja fizinių asmenų asmens duomenų tvarkymo tikslus, nustato Duomenų subjektų teisių įgyvendinimo tvarką, įstaigos darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis, įtvirtina organizacines ir technines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus.
1.2. UAB “VARIO KOMANDA”, VIEŠBUTIS “VILA KOMODA”, į. k. 304733818, buveinės adresas – Vėžių g. 26-12, Palanga (toliau – Duomenų valdytojas) šiomis Taisyklėmis nustato asmens duomenų tvarkymo sąlygas naudojantis Duomenų valdytojo teikiamomis apgyvendinimo, restorano ir kitomis paslaugomis, įsigyja prekes, arba lankosi interneto svetainėse https://www.vilakomoda.lt, https://www.booking.com/hotel/lt/vila-komoda.lt.html (toliau – Interneto svetainė), kandidatams, dalyvaujantiems atrankose į UAB “VARIO KOMANDA”, VIEŠBUTIS “VILA KOMODA” skelbiamas darbo vietas.
1.3.Asmens duomenų saugumo ir įgyvendinamų asmens duomenų saugumo priemonių reikalavimus nustato:
1.3.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (toliau – ADTAĮ);
1.3.2. 2016 m. balandžio 27d. Europos parlamento ir Tarybos reglamentas 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo;
1.3.3. Siekiant užtikrinti asmens duomenų saugumą, taip pat yra vadovaujamasi Lietuvos standartais LST ISO/IEC 27001:2013, LST ISO/IEC 27002:2014 ir kitais Lietuvos bei tarptautiniais standartais reglamentuojančiais informacijos (duomenų) saugumą; 1.3.4. ir kiti teisės aktai, susiję su asmens duomenų tvarkymu ir apsauga.
2. TAISYKLĖSE VARTOJAMOS SĄVOKOS
2.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
2.2. Duomenų subjektas – asmuo, kuris naudojasi UAB “V ARIO KOMANDA”, VIEŠBUTIS “VILA KOMODA” paslaugomis, įsigyja prekes, lankosi Interneto svetainėje kreipiasi į UAB “VARIO KOMANDA”, VIEŠBUTIS “VILA KOMODA” dėl paslaugų/ prekių ar kitais tikslais, taip pat kandidatas, dalyvaujantis atrankose į skelbiamas darbo vietas.
2.3. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmenų duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleisdamas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
2.4. Duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;
2.5. Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta ar judėjimu;
2.6. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti ES arba LR teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti ES arba LR teise;
2.7. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis. Duomenų tvarkytojais laikomi juridiniai asmenys ar savarankiškai paslaugas atliekantys fiziniai asmenys, teikiantys kaip kad informacinių sistemų ir (ar) kompiuterizuotų darbo vietų priežiūros, interneto svetainės priežiūros, serverių nuomos paslaugas, įvairūs įmonės samdomi ar įmonėje dirbantys subrangovai ir pan.);
2.8. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal ES arba LR teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;
2.9. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginių duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;
2.10. Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;
2.11. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, be leidimo atskleidžiami persiųsti saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;
2.12. Įmonė (bendrovė) – bet kokios teisinės formos ekonomine veikla užsiimantis fizinis arba juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus;
2.13. Priežiūros institucija – valstybės įsteigta nepriklausoma valdžios institucija – atsakinga už reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje;
2.14. Pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenųnepriskyrimą.
2.15. Šiose Taisyklėse gali būti naudojamos ir kitos sąvokos, kurių reikšmė atitinka Reglamento nuostatas.
3. TAIKYMO SRITIS IR SUBJEKTAI
3.1. Taisyklės taikomos:
3.1.1. Duomenų valdytojui – UAB “VARIO KOMANDA”, VIEŠBUTIS “VILA KOMODA”, į. k. 304733818, buveinės adresas – Vėžių g. 26-12, Palanga.
4. ASMENS DUOMENŲ TVARKYMO TIKSLAI
4.1. Tvarkant asmens duomenis laikomasi asmens duomenų tvarkymo reikalavimų. Už Duomenų subjektų duomenų rinkimą ir atnaujinimą įstaigoje, atsako įstaiga, kurioje renkami ir tvarkomi Duomenų subjekto duomenys, Direktoriaus įsakymu paskirti atsakingi asmenys ir asmenys, kurie dirba su asmens duomenimis;
4.2. Įstaiga tvarko asmens duomenis šiems tikslams pasiekti:
4.3. Vidaus administravimo tikslais;
4.4. Tikslais, kurių tvarkymui Įmonė yra įregistruota Asmens duomenų valdytojų valstybės registre;
4.5. Paslaugų suteikimo tikslu;
4.6. Darbo sutarčių sudarymo, vykdymo, atlyginimų ir susijusių mokesčių mokėjimo bei buhalterinės apskaitos tikslu;
4.7. Darbdavio teisinių prievolių vykdymo tikslu;
4.8. Darbdavio ir darbuotojų komunikacijos darbo ir ne darbo metu tikslu;
4.9. Darbuotojų tinkamų darbo sąlygų užtikrinimo tikslu;
4.10. Įstaigos turto, darbuotojų ir lankytojų turto ir saugumo užtikrinimo tikslu;
4.11. Vaizdo įrašų tvarkymas turto ir asmenų apsaugos, vagysčių prevencijos tikslu;
4.12. Komunikacijos tarp įmonės ir kliento tikslu;
4.13. Internetinės svetainės administravimo tikslu;
4.14. Tiesioginės rinkodaros tikslu;
4.15. Kitais tikslais asmens duomenys yra tvarkomi apie tai informavus duomenų subjektą arba jeigu to reikalauja teisinė prievolė ar teisėti interesai.
5. SU ASMENS DUOMENŲ TVARKYMU SUSIJĘ PRINCIPAI
5.1. Asmens duomenys turi būti:
5.1.1. Duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
5.1.2.Renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);
5.1.3.Adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
5.1.4. Tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
5.1.5. Laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
5.1.6.Tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
5.1.7. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 6 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).
5.2. Asmens duomenų saugojimo terminai nustatomi pagal LR asmens duomenų teisinės apsaugos įstatymą (toliau – ADTAĮ). Asmens duomenys saugomi tokia forma, tik ta apimtimi ir tiek laiko, kad duomenų subjektų tapatybę būtų galima nustatyti tiek, kiek yra reikalinga nustatytiems tikslams pasiekti ir ne ilgiau, negu to reikia tiems tikslams pasiekti, dėl kurių šie duomenys buvo surinkti ir tvarkomi. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams. Šiuos asmens duomenų saugojimo terminus kartu su duomenų tvarkymo tikslais, atskiroje formoje nustato Bendrovės vadovas arba už asmens duomenis atsakingas asmuo, kurį paskyrė Bendrovės vadovas.
5.3. Asmens duomenų saugojimo terminas:
5.3.1. Asmens duomenys tvarkomi ne ilgiau, negu reikia duomenų tvarkymo tikslams pasiekti arba ne ilgiau nei to reikalauja duomenų subjektai ir/ar numato teisės aktai.
5.3.2. Įprastai Duomenų valdytojas duomenis saugo 10 metų pasibaigus sutarčiai ar teisiniams santykiams, vykdydami su dokumentų archyvavimu susijusius, teisės aktuose nustatytus reikalavimus bei siekiant pareikšti, vykdyti ar apginti teisinius įmonės reikalavimus.
5.3.3. Rezervacijos duomenys, suvesti rezervuojant Duomenų valdytojo teikiamas paslaugas, yra saugomi 1 metus nuo išsiregistravimo iš viešbučio momento.
5.3.4. Tiesioginės rinkodaros tikslais Duomenų subjekto sutikimo pagrindu tvarkome asmens duomenis nuo sutikimo gavimo ne ilgiau nei 3 metus arba iki tol, kol Duomenų subjektas atšaukia duotą sutikimą dėl duomenų tvarkymo.
5.3.5. Vaizdo stebėjimo medžiaga su asmens duomenimis saugomi ne ilgiau kaip 14 dienų nuo duomenų užfiksavimo/ gavimo dienos.
TVARKYMO TEISĖTUMAS
Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
7. SUTIKIMO SĄLYGOS
7.1. Duomenys tvarkomi remiantis sutikimu, duomenų valdytojas privalo įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.
7.2. Jeigu duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis. Tai gali būti atliekama įvairiomis įstaigos pasirinktomis formomis pvz.: pažymint langelį interneto svetainėje, atliekant registraciją internetinėje svetainėje ar pasirenkant informacinės visuomenės paslaugų techninius parametrus ar kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas
6.1. 6.2. 6.3. 6.4. 6.5. 6.6.
duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
tvarkytiduomenisbūtinasiekiantapsaugotigyvybiniusduomenųsubjektoarkitofizinio asmens interesus;
tvarkyti duomenis būtina siekiant užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas valdžios funkcijas;
kitais atvejais kaip nurodyta valstybinės duomenų apsaugos inspekcijos duomenų valdytojų registre, bei kitose įmonės asmens duomenų tvarkymo tikslų taisyklėse.
8.
turi būti – aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl
kurios prašoma sutikimo.
7.3. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo
atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva, kaip jį duoti.
7.4. Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, Inter Alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.
7.5. Vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Kai vaikas yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas;
7.6. Kiekvienam įstaigos Asmens duomenų tvarkymo tikslui, nurodomos Asmens duomenų sutikimo ir atsisakymo sąlygos.
SUTIKIMO GAVIMO PRAŠYMO IŠ DUOMENŲ SUBJEKTO NUOSTATOS
8.1. Šios nuostatos galioja tiek elektroninei tiek ir popierinei ar kitokiai sutikimo formai, kurios pagalba Duomenų valdytojas nori gauti Duomenų subjekto sutikimą naudoti jo duomenis. Sutikimas iš nepilnamečių, turi būti suderintas su nepilnamečio asmens, tėvais, globėjais ar rūpintojais. Būtina atkreipti dėmesį, kad sutikimo formoje atspindėtų visi be išimties reikalavimai:
8.1.1. Sutikimas turi būti atskirtas nuo bendrųjų sąlygų ir aiškiai atkreipti dėmesį;
8.1.2. Naudoti aiškią, tiesioginę kalbą;
8.1.3. Naudoti paprastą stilių, kurį lengvai suprastų tikslinė auditorija;
8.1.4. Nenaudoti techninio ar teisinio žargono bei painių terminologijų;
8.1.5. Naudoti nuoseklią kalbą ir metodus tarp skirtingų sutikimo pasirinkimo galimybių;
8.1.6. Prašymai dėl sutikimo turi būti glausti ir konkretūs, vengti netikslių ir bendro
pobūdžio formuluočių.
9. VAIZDO ĮRAŠŲ TVARKYMAS TURTO IR ASMENŲ APSAUGOS, VAGYSČIŲ PREVENCIJA
9.1. Duomenų valdytojas vykdo vaizdo stebėjimą viešbutyje, siekdamas apsaugoti savo, Duomenų subjekto ir kitų asmenų turtą, taip pat asmenų sveikatą ir gyvybę, teisėtų pagrindu.
9.2. Duomenų valdytojas vykdydamas vaizdo stebėjimą renka šią informaciją: vaizdo įrašai, vaizdo įrašų užfiksavimo data ir laikas, vieta.
9.3. Vaizdo stebėjimą organizuojame taip, kad į stebėjimo lauką nepakliūtų didesnė nei būtinai reikalinga viešbučio teritorija (patalpa, patalpos dalis). Stebima viešbučio patalpų vidus ir įėjimai į viešbutį.
9.4. Vaizdo stebėjimas patalpose ir/arba teritorijose, skirtose asmenų privačiam naudojimui, t. y. tualetuose, dušuose, persirengimo kabinose ir pan., taip pat viešbučio kambariuose nevykdomas.
9.5. V aizdo įrašai gali būti naudojami tik įtariamoms nusikalstamoms veikoms, administraciniams teisės pažeidimams atskleisti arba viešbučio darbuotojų, paslaugų teikėjų, trečiųjų asmenų, turtui ar viešbučio turtui, asmenų sveikatai ar gyvybei padarytai žalai įrodyti, atskleisti ir gali būti perduoti tik įstatymų nustatyta tvarka turintiems teisę gauti šiuos duomenis asmenims.
9.6. Vaizdo įrašus gali būti leidžiama peržiūrėti Duomenų subjekto prašymu, jei vaizdo įrašas yra susijęs tik su prašančiu Duomenų subjektu ir tokių vaizdo įrašų duomenų saugojimo terminas nėra pasibaigęs. Esant būtinybei, vaizdo įrašai gali būti perduoti teisėsaugos institucijoms gavus rašytinį teisėsaugos institucijų prašymą ar reikalavimą pateikti duomenis. Jei vaizdo įrašai peržiūrimi ne teisėsaugos institucijų ar teismo patalpose, vaizdo įrašų peržiūra turi vykti uždaroje viešbučio patalpoje. Tokioje peržiūroje turi teisę dalyvauti duomenų subjektas, atsakingas viešbučio darbuotojas, teisėsaugos institucijų atstovai.
10. KONFIDENCIALUMAS IR SAUGUMAS
10.1. Įstaiga privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo, bet kokio kito neteisėto tvarkymo. Įstaigos darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje, bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumo principo darbuotojai turi laikytis pasitraukus ir pasibaigus darbo santykiams.
10.2. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam Asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.
10.3. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti Asmens duomenys, tik tiek Darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.
10.4. Duomenų tvarkymo funkcijas vykdantys ir su Įstaigoje tvarkomais asmens duomenimis galintys susipažinti darbuotojai pasirašytinai saugo asmens duomenų paslaptį, jei šie asmens duomenys neskirti skelbti viešai. Konfidencialumo susitarimai laikomi darbuotojų asmens bylose.
10.5. Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai turi užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat , bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus tinkamai ir saugiai, bei vengiant nereikalingų kopijų darymo. Įstaigos dokumentų kopijos, kuriuose
nurodomi asmens duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų
nebūtų galima atkurti ar atpažinti turinio.
10.6. Įvykus asmens duomenų apsaugos pažeidimui, atsakingas už Įstaigos tvarkomų
asmens duomenų apsaugą asmuo per 72 valandas apie tokį pažeidimą pranešą LR Valstybinei asmens duomenų apsaugos inspekcijai. Įstaiga nepraneša apie pažeidimą LR Valstybinei asmens duomenų apsaugos inspekcijai, jeigu asmens duomenų saugumo pažeidimas nekelia pavojau fizinių asmenų teisėms ir laisvės.
11. ĮSTAIGOS DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMAS
11.1. Įstaigos darbuotojų, dirbančių pagal darbo sutartis asmens duomenys tvarkomi vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir laikantis kituose teisės aktuose bei įstaigos “Darbuotojų asmens duomenų saugojimo politikoje” (Taisyklėse) nustatyta tvarka.
11.2. Įstaigos darbuotojų asmens duomenis tvarko atsakingas įstaigos vadovo paskirtas darbuotojas ar asmuo, vykdantis personalo administravimo funkcijas.
11.3. Įstaigos darbuotojų asmens bylos ir pretendentų į šias pareigas dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės bylos, archyvinės ir kitos bylos, kuriose yra asmens duomenų, saugomos rakinamoje patalpoje ar saugiose informacinėse sistemose, duomenų bazėse. Šie duomenys tretiesiems asmenims susipažinti teikiami tik tais atvejais, kai tą leidžia įstatymai ir kiti teisės aktai.
11.4. Įstaigos darbuotojų sąrašai su darbuotojų asmens duomenimis naudojami tik darbo tikslais ir jie laikomi rakinamoje patalpoje arba saugiose informacinėse sistemose. Priėjimą gali turėti tik atsakingi darbuotojai.
11.5. Įstaigos darbuotojai, pasikeitus jų asmens duomenimis, informuoja apie tai atsakingą už asmens duomenų apsaugą įstaigos darbuotoją ir/ar asmenį, vykdantį personalo administravimo funkciją, o šis ne vėliau kaip per 3 darbo dienas patikslina ir atnaujina duomenis darbuotojų asmens bylose bei tam skirtose informacinėse sistemose bei duomenų bazėse.
DUOMENŲ SUBJEKTO TEISĖS. SKAIDRUMAS IR SĄLYGOS
12. SKAIDRUS INFORMAVIMAS, PRANEŠIMAS IR DUOMENŲ SUBJEKTO NAUDOJIMOSI SAVO TEISĖMIS SĄLYGOS
12.1. Duomenų valdytojas imasi tinkamų priemonių, kad visą informaciją ir visus pranešimus, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.
12.2. Duomenų valdytojas sudaro palankesnes sąlygas naudotis duomenų subjekto teisėmis susipažinti su duomenimis. Duomenų valdytojas neatsisako imtis veiksmų pagal
duomenų subjekto prašymą pasinaudoti teisėmis susipažinti su duomenimis, nebent
duomenų valdytojas įrodo, kad jis negali nustatyti duomenų subjekto tapatybės.
12.3. Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą susipažinti su duomenimis. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiais, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus,
kai duomenų subjektas paprašo ją pateikti kitaip.
12.4. Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų
valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone.
12.5. Visa teikiama informacija ir visi kiti pranešimai bei visi veiksmai susiję su duomenų supažindinimu yra nemokami. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali:
12.5.1. Imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba
12.5.2. Gali atsisakyti imtis veiksmų pagal prašymą.
12.6. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas
arba neproporcingas.
12.7. Kai duomenų valdytojas turi pagrįstų abejonių dėl prašymą pateikusio fizinio asmens
tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos,
reikalingos norint patvirtinti duomenų subjekto tapatybę.
12.8. Informacija, kuri duomenų subjektams turi būti teikiama, gali būti teikiama su
standartizuotomis piktogramomis siekiant, kad numatomas duomenų tvarkymas būtų prasmingai apibendrintas lengvai matomu, suprantamu ir aiškiai įskaitomu būdu. Kai piktogramos pateikiamos elektronine forma, jos turi būti kompiuterio skaitomos.
INFORMAVIMAS IR TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS
13. INFORMACIJA, KURI TURI BŪTI PATEIKTA, KAI ASMENS DUOMENYS RENKAMI IŠ DUOMENŲ SUBJEKTO
13.1. Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:
13.1.1. Duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybę ir kontaktinius duomenis;
13.1.2. Duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;
13.1.3. Duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;
13.1.4. Jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas; 13.1.5. Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus,
taikomus tam laikotarpiui nustatyti;
13.1.6. Teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto
asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
13.1.7. Teisę pateikti skundą priežiūros institucijai;
13.1.8. Tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas
reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes.
13.2. Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją.
13.3. 13.1. ir 13.2. dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.
14. INFORMACIJA, KURI TURI BŪTI PATEIKTA, KAI ASMENS DUOMENYS YRA GAUTI NE IŠ DUOMENŲ SUBJEKTO
14.1. Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui visą šią informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:
14.1.1. Duomenų valdytojo ir duomenų valdytojo atstovo, jei taikoma, tapatybę ir kontaktinius duomenis;
14.1.2. Duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;
14.1.3. Duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat
duomenų tvarkymo teisinį pagrindą;
14.1.4. Atitinkamų asmens duomenų kategorijas;
14.1.5. Jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
14.1.6. Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus,
taikomus tam laikotarpiui nustatyti;
14.1.7. Teisėtus duomenų valdytojo arba trečiosios šalies interesus;
14.1.8. Teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto
asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
14.1.9. Teisę pateikti skundą priežiūros institucijai;
14.1.10. Koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš
viešai prieinamų šaltinių.
14.2. Duomenų valdytojas 14.1 dalyje nurodytą informaciją pateikia:
14.2.1. Per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną
mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
14.2.2. Jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti
– ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
14.2.3. Jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau
kaip atskleidžiant duomenis pirmą kartą.
14.3. Kai duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas,
kuriuo asmens duomenys buvo gauti, prieš toliau tvarkydamas tuos duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą papildomą atitinkamą informaciją.
14.4. 14.1.-14.3. dalys netaikomos, jeigu:
14.4.1. duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.
14.4.2. Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų
pastangų, visų pirma kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Tokiais atvejais duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
14.4.3. Duomenų gavimas ar atskleidimas aiškiai nustatytas LR teisėje, ir kurie taikomi duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba
14.4.4. Kai asmens duomenys privalo išlikti konfidencialūs laikantis LR teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.
15. DUOMENŲ SUBJEKTO TEISĖ SUSIPAŽINTI SU DUOMENIMIS
15.1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:
15.1.1. Duomenų tvarkymo tikslai;
15.1.2. Atitinkamų asmens duomenų kategorijos;
15.1.3. Duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus
atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse
arba tarptautinės organizacijos;
15.1.4. Kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei
įmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;
15.1.5. Teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar
apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti
su tokiu tvarkymu;
15.1.6. Teisė pateikti skundą priežiūros institucijai;
15.1.7. Kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija
apie jų šaltinius.
15.2. Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones.
15.3. Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už, bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.
15.4. 15.3.dalyjenurodytateisėgautikopijąnegalidarytineigiamopoveikiokitųteisėms ir laisvėms.
DUOMENŲ IŠTAISYMAS IR IŠTRYNIMAS 16. TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
16.1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.
17. TEISĖ REIKALAUTI IŠTRINTI DUOMENIS (“TEISĖ BŪTI PAMIRŠTAM”)
17.1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusias asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:
17.1.1. Asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
17.1.2. Asmens duomenų subjektas atšaukia sutikimą, kuriuo duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais arba atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
17.1.3. Asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal skyrių “Tvarkymo teisėtumas” ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal tai, jog jo asmens duomenys tvarkomi tiesioginės rinkodaros tikslais;
17.1.4. Asmens duomenys buvo tvarkomi neteisėtai;
17.1.5. Asmens duomenys turi būti ištrinti laikantis LR teisėje, kuri taikoma duomenų
valdytojui, nustatytos teisinės prievolės;
17.1.6. Asmens duomenys buvo surinkti pagal vaikų amžių ir jo duomenų rinkimą nurodančias taisykles.
17.2. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 18.1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvenimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.
17.3. 17.1. ir 17.2. dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:
17.3.1. siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;
17.3.2. siekiant laikytis LR teise, kuri taikoma duomenų valdytojui, nustatytos teisinės
prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
17.3.3. archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, jeigu dėl 17.1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba
17.3.4. siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
18. TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
18.1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą, kai taikomas vienas iš šių atvejų:
18.1.1. Asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;
18.1.2. Asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
18.1.3. Duomenų valdytojui nebereikia asmens duomenų, duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
18.1.4. Duomenų subjektas pagal teisę “tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas”, paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
18.2. Kaiduomenųtvarkymasyraapribotaspagal8.1dalį,tokiusasmensduomenisgalima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus LR viešojo intereso priežasčių.
18.3. Duomenų subjektą, kuris pasakė, kad būtų apribotas duomenų tvarkymas pagal 8.1. dalį, duomenų valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.
19.PRIEVOLĖ PRANEŠTI APIE ASMENS DUOMENŲ IŠTAISYMĄ AR IŠTRYNIMĄ ARBA DUOMENŲ TVARKYMO APRIBOJIMĄ
19.1. Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie, bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal teisę reikalauti ištaisyti duomenis ir teisę reikalauti ištrinti duomenis bei teisę apriboti duomenų tvarkymą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.
20. TEISĖ Į DUOMENŲ PERKELIAMUMĄ
20.1. Duomenų subjektas turi teisę gauti su juo susijusias asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:
20.1.1. Duomenų tvarkymas yra grindžiamas sutikimu pagal tai, jog duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais arba duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, bei sutartimi tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį; ir
20.1.2. Duomenys yra tvarkomi automatizuotomis priemonėmis.
20.2. Naudodamasissavoteiseįduomenųperkeliamumąpagal1dalį,duomenųsubjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.
20.3. Šio straipsnio 20.1. dalyje nurodyta teise naudojamasi nedarant poveikio teisei reikalauti ištrinti duomenis. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant valdytojui pavestas viešosios valdžios funkcijas.
20.4. 20.1. dalyje nurodyta teisė negali daryti neigiamo poveikio kitų teisėms ir laisvėms.
21. APRIBOJIMAI
21.1. LR teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos kai kuriuose straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:
21.1.1. Nacionalinį saugumą;
21.1.2. Gynybą;
21.1.3. Visuomenės saugumą;
21.1.4. Nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją ;
21.1.5. Kitus ES ar LR svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu ES ar LR interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;
21.1.6. Teismų nepriklausomumo ir teismo proceso apsauga;
21.1.7. Reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir
patraukimą baudžiamojon atsakomybėn už juo;
21.1.8. Stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra
susijusi su viešosios valdžios funkcijų vykdymu 21.1., 21.1.5. ir 21.1.7. punktuose
nurodytais atvejais;
21.1.9. Duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsauga; 21.1.10. Civilinių ieškinių vykdymo užtikrinimą.
21.2. Visų pirma visose 21.1. dalyje nurodytose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios tam tikrais atvejais bent su:
21.2.1. Duomenų tvarkymo tikslais arba duomenų tvarkymo kategorijomis;
21.2.2. Asmenų duomenų kategorijomis;
21.2.3. Nustatytų apribojimų apimtimi;
21.2.4. Apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba
neteisėtam susipažinimui su duomenimis ar jų perdavimui;
21.2.5. Duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimu;
21.2.6. Saugojimo laikotarpiais ir taikytinomis apsaugos priemonėmis, atsižvelgiant į
duomenų tvarkymo arba duomenų tvarkymo kategorijų pobūdį, aprėptį ir tikslus; 21.2.7. Pavojais duomenų subjektų teisėms ir laisvėms, ir
21.2.8. Duomenų subjektų teise būti informuotiems apie apribojimą, nebent tai
pakenktų apribojimo tikslui.
22. DUOMENŲ TVARKYTOJAI
22.1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
22.2. Siekiant užtikrinti, kad būtų laikomasi reikalavimų dėl duomenų tvarkymo, kurį duomenų tvarkytojas atlieka duomenų valdytojo vardu, duomenų valdytojas, patikėdamas duomenų tvarkytojui tvarkymo veiklą, turi pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų, susijusių visų pirma su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks duomenų apsaugos reikalavimus nurodytus LR teisės aktuose, o taip pat duomenų apsaugos reglamente EU 2016/679, įskaitant dėl tvarkymo saugumo. Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso arba patvirtinto sertifikavimo mechanizmo ( žr. skyriuje 27 “Elgesio kodeksai” ir 29 skyriuje
“Sertifikavimas”), gali būti remiamasi kaip vienu iš aspektų siekiant įrodyti, kad
duomenų valdytojas vykdo prievoles.
22.3. Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus
arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.
22.4. Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal LR teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kurioje nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:
22.4.1. Tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius duomenis su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, išskyrus atvejus, kai tai daryti reikalaujama pagal ES arba LR teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti duomenis praneša apie tokį teisinį reikalavimą duomenų valdytojui, išskyrus atvejus, kai pagal tą teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių;
22.4.2. Užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;
22.4.3. Pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai ES ir LR teise reikalaujama asmens duomenis saugoti;
22.4.4. Pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.
22.5. Kaiduomenųtvarkytojaskonkrečiaiduomenųtvarkymoveiklaiduomenųvaldytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal LR teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 22.4. dalyje. Jos nurodomos duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, bei turi veikti, kaip prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų duomenų apsaugos reikalavimus nurodytus LR teisės aktuose, o taip pat duomenų apsaugos reglamente EU 2016/679. Kai ta kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.
22.6. 22.4. ir 22.5. dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, įskaitant elektronine forma.
22.7. Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso, kaip nurodyta (žr. “Elgesio kodeksai” 27 skyrius), arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta (žr. “Sertifikavimas” 29 skyrius), gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 22.3. ir 22.5. dalyse. Duomenų tvarkytojai turi sugebėti įrodyti, kad laikomasi visų saugumo reikalavimų.
22.8. Jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia duomenų apsaugos reglamentą EU 2016/679, tai duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.
23. DUOMENŲ VALDYTOJUI AR DUOMENŲ TVARKYTOJUI PAVALDŽIŲ ASMENŲ ATLIEKAMAS DUOMENŲ TVARKYMAS
23.1. Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal LR teisę.
24. BENDRADARBIAVIMAS SU PRIEŽIŪROS INSTITUCIJA
24.1. Duomenų valdytojas ir duomenų tvarkytojas, taip pat jei taikoma, jų atstovai, gavę prašymą bendradarbiauja su priežiūros institucija jai vykdant savo užduotis.
25. PRANEŠIMAS PRIEŽIŪROS INSTITUCIJAI APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
25.1. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms, nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai pranešą priežiūros institucijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.
25.2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.
25.3. 27.1. dalyje nurodytame pranešime turi būti bent:
25.3.1. aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant jeigu
įmanomą, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat
atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;
25.3.2. nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai
duomenys;
25.3.3. aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
25.3.4. aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad
būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama,
priemones galimos neigiamoms jo pasekmėms sumažinti.
25.4. Kai ir jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau
nepagrįstai nedelsiant gali būti teikiama etapais.
25.5. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus,
įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi tais dokumentais, priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio.
26. PRANEŠIMAS DUOMENŲ SUBJEKTUI APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
26.1. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.
26.2. Šio straipsnio 26.1. dalyje nurodytame pranešime duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis.
26.3. 26.1. dalyje nurodyto pranešimo duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:
26.3.1. duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio, visų pirma tas priemones, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;
26.3.2. duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 26.1. dalyje nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;
26.3.3. tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
26.4. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų, arba gali nuspręsti, kad įvykdyta bet kuri iš 26.3. dalyje nurodytų sąlygų.
ELGESIO KODEKSAI IR SERTIFIKAVIMAS 27. ELGESIO KODEKSAI
27.1. Žr. reglamentą EU 2016/679, 40str.
28. PATVIRTINTŲ ELGESIO KODEKSŲ STEBĖSENA
28.1. Žr. reglamentą EU 2016/679, 41str.
29. SERTIFIKAVIMAS
29.1. Žr. reglamentą EU 2016/679, 42str. Sertifikavimas yra savanoriškas ir prieinamas taikant skaidrų procesą.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.