1. Bendrosios nuostatos
1.1. Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja įmonės MB „Ainau“ (toliau – Įmonė) ir jos darbuotojų veiksmus tvarkant asmens duomenis, naudojant Įmonėje įrengtas automatines ir neautomatines asmens duomenų tvarkymo priemones, taip pat nustato duomenų subjekto teises, asmens duomenų apsaugos įgyvendinimo priemones ir kitus su asmens duomenų tvarkymu susijusius klausimus.
1.2. Asmens duomenų tvarkymo Įmonėje taisyklių paskirtis – reglamentuoti asmens duomenų tvarkymą Įmonėje, vadovaujantis Europos Sąjungos Bendruoju duomenų apsaugos reglamentu Nr. 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu bei užtikrinti kitų susijusių teisės aktų laikymąsi ir įgyvendinimą.
2. Sąvokos
2.1. Dokumente vartojamos sąvokos:
2.1.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas). Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę galima nustatyti, visų pirma pagal tam tikrą identifikatorių, kaip vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
2.1.2. Duomenų subjektas – reiškia fizinį asmenį, iš kurio Įmonė gauna ir tvarko asmens duomenis;
2.1.3. Darbuotojas – reiškia asmenį, kuris su Įmone yra sudaręs darbo ar panašaus pobūdžio sutartį ir Įmonės vadovo sprendimu yra paskirtas tvarkyti Asmens duomenis arba, kurio asmens duomenys yra tvarkomi;
2.1.4. Duomenų gavėjas – asmuo, kuriam teikiami asmens duomenys;
2.1.5. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse);
2.1.6. Duomenų tvarkymas – bet koks su asmens duomenimis atliekamas veiksmas: rinkimas, kaupimas, saugojimas, užrašymas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys;
2.1.7. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis;
2.1.8. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (arba) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose;
2.1.9. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojas ir (arba) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose;
2.1.10. Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;
2.1.11. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų;
2.1.12. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti duomenis;
2.1.13. Kitos šiose Taisyklėse vartojamos sąvokos yra suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose asmens duomenų tvarkymą reglamentuojančiuose teisės aktuose.
3. Asmens duomenų tvarkymo principai
3.1. Įmonė, tvarkydama asmens duomenis, vadovaujasi šiais principais:
3.1.1. Asmens duomenis Įmonė tvarko tik teisėtiems ir Taisyklėse apibrėžtiems tikslams pasiekti;
3.1.2. Asmens duomenys yra tvarkomi tiksliai, sąžiningai ir teisėtai, laikantis teisės aktų reikalavimų;
3.1.3. Įmonė asmens duomenis tvarko taip, kad asmens duomenys būtų tikslūs ir esant jų pasikeitimui nuolat atnaujinami;
3.1.4. Įmonė atlieka asmens duomenų tvarkymą tik ta apimtimi, kuri yra reikalinga asmens duomenų tvarkymo tikslams pasiekti;
3.1.5. Asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
3.1.6. Duomenų subjekto asmens duomenis gali sužinoti tik atitinkamą kompetenciją turintys Įmonės darbuotojai ir/ar tretieji asmenys, kuriuos Įmonė pasitelkė paslaugai teikti, ir tik tais atvejais, kai to reikia paslaugai suteikti.
3.2. Įmonė gerbia Duomenų subjekto privatumą ir įsipareigoja nuolatos laikytis šiose Taisyklėse nurodytų Duomenų subjekto duomenų apsaugos principų.
3.3. Įmonė renka asmens duomenis, kuriuos darbuotojai ir duomenų subjektai savanoriškai pateikia elektroniniu paštu, registruotu paštu, telefonu (teksto pranešimas arba mobilus skambutis), tiesiogiai atvykęs į Įmonės ofisą ar naudodamasis Įmonės internetiniu puslapiu.
4. Asmens duomenų tvarkymo tikslai
4.1. Asmens duomenys tvarkomi ir naudojami atsižvelgiant į tai, kokiais tikslais Duomenų subjektas juos pateikė Įmonei ar kitais Duomenų subjekto patvirtintais tikslais.
4.2. Duomenų subjekto asmens duomenų naudojimo tikslai gali būti:
4.2.1. duomenų subjekto identifikavimui Įmonės informacinėse sistemose;
4.2.2. nupirktų (užsakytų) produktų ar paslaugų kuponų, patvirtinimų, sąskaitų ir kitų finansinių dokumentų išrašymui ir pateikimui;
4.2.3. problemų, susijusių su sutarties vykdymu sprendimui;
4.2.4. kitų sutartinių įsipareigojimų tinkamam įvykdymui;
4.2.5. įmonės Tiesioginės rinkodaros tikslais;
4.2.6. saugumo, sveikatos, administraciniais, nusikaltimų prevencijos atskleidimo ir teisiniais tikslais;
4.2.7. verslo analitikai, bendriesiems tyrimams, kurie leidžia gerinti paslaugų kokybę, auditui;
4.2.8. asmens kandidatūros darbo pareigoms užimti vertinimui, susisiekimui su atitinkamu kandidatu ir kt.;
4.2.9. asmens motyvacijos didinimo bei Įmonės įvaizdžio kūrimo tikslais.
4.3. Duomenų subjektas, savanoriškai pateikdamas Įmonei savo asmens duomenis, patvirtina ir savanoriškai sutinka, kad Įmonė valdytų ir tvarkytų Duomenų subjekto asmeninius duomenis, laikantis šių Taisyklių, galiojančių įstatymų bei kitų norminių teisės aktų.
4.4. Taisyklių privalo laikytis visi Įmonės darbuotojai, kurie tvarko Įmonėje esančius asmens duomenis arba atlikdami savo funkcijas juos sužino, Įmonės pasitelkti duomenų tvarkytojai ar tretieji asmenys, kuriuos Įmonė pasitelkė duomenų tvarkymo paslaugai teikti, ir tik tiek, kiek to reikia paslaugai suteikti.
4.5. Įmonė įsipareigoja be Duomenų subjekto sutikimo neatskleisti asmens duomenų informacijos tretiesiems asmenims, išskyrus, užtikrinant tinkamą sutarties įvykdymą, kitas su Duomenų subjekto užsakytų paslaugų tinkamu įvykdymu susijusias paslaugas. Įmonė taip pat gali perduoti Duomenų subjekto asmens duomenis tretiesiems asmenims, kurie Įmonės vardu veikia kaip Duomenų tvarkytojai. Asmens duomenys gali būti teikiami tik tiems Duomenų tvarkytojams, su kuriais Įmonė yra pasirašiusi atitinkamas Duomenų tvarkymo sutartis. Yra laikoma, kad Duomenų subjektas yra apie tai informuotas, su tuo sutinka ir Įmonė neprisiima atsakomybės dėl žalos, kylančios dėl trečiųjų asmenų naudojimosi Duomenų subjekto duomenimis tiek, kiek tai leidžia įstatymai. Visais kitais atvejais, Duomenų subjekto asmens duomenys tretiesiems asmenims gali būti atskleidžiami tik Lietuvos Respublikos teisės aktų numatyta tvarka.
5. Asmens duomenų rinkimas ir tvarkymas
5.1. Įmonės renkama asmens duomenų informacija gali būti: Duomenų subjekto pavadinimas, vardas, pavardė, asmens kodas, telefono numeris, elektroninio pašto adresas, įsigytų prekių ar paslaugų gavimo adresas, buveinės/ gyvenamosios vietos adresas, įmonės, kurios vardu veikiama pavadinimas, kredito/debeto kortelių arba kiti mokėjimų duomenys, informacija apie Duomenų subjekto įsigytus produktus ir paslaugas įmonės vardu (jų kiekiai, pirkimo datos, kainos, pirkimo istorija), duomenų subjekto pateikti duomenys dalyvaujant darbuotojų atrankoje, vaizdo duomenys atliekant asmens vaizdo fiksavimą. Taip pat Įmonės renkama asmens duomenų informacija gali būti bet kokia aukščiau nenurodyta, tačiau duomenų subjekto savanoriškai Įmonei pateikta arba kitu būdu Įmonės gauta ir teisėtai tvarkoma asmens duomenų informacija.
5.2. Atsižvelgiant į Įmonės veiklos vykdymo pobūdį bei Užsakovo vykdomą politiką darbų vykdymo vietoje, asmens atvaizdas gali būti fiksuojamas vaizdo įrašymo priemonėmis. Toks atvaizdo fiksavimas yra skirtas darbo vietos apsaugos tikslais. Jeigu asmens atvaizdą darbų vykdymo vietoje fiksuoja ne Įmonė, o Užsakovas, tuomet Įmonė neprisiima atsakomybės dėl asmens duomenų rinkimo ir tvarkymo, tačiau įspėja darbuotojus apie galimą asmens atvaizdo fiksavimą vaizdo įrašymo priemonėmis. Jeigu asmuo nori sužinoti kaip Užsakovas renka ir tvarko šiuos asmens duomenis, jis turi rašyti laisvos formos prašymą Įmonės vadovui dėl detalesnio išaiškinimo.
5.3. Atsižvelgiant į Įmonės veiklos vykdymo pobūdį bei Užsakovo vykdomą politiką darbų vykdymo vietoje, darbuotojui gali būti patikrintas blaivumas. Jeigu blaivumą darbų vykdymo vietoje fiksuoja ne Įmonė, o Užsakovas, tuomet Įmonė neprisiima atsakomybės dėl asmens duomenų rinkimo ir tvarkymo, tačiau įspėja darbuotoją apie galimą blaivumo fiksavimą atitinkamomis blaivumą matuojančiomis priemonėmis.
5.4. Visi Duomenų subjekto nurodyti ir gauti asmens duomenys yra kaupiami, saugomi ir tvarkomi pagal Lietuvos Respublikos asmens duomenų apsaugos įstatyme numatytus reikalavimus bei kitus Lietuvos Respublikoje asmens duomenų apsaugą reglamentuojančius teisės aktus. Įmonė užtikrina, jog Duomenų subjekto pateikiami duomenys būtų apsaugoti nuo bet kokių neteisėtų veiksmų: neteisėto asmens duomenų pakeitimo, atskleidimo ar sunaikinimo, asmens tapatybės vagystės, sukčiavimo bei, kad asmens duomenų apsaugos lygis atitiktų Lietuvos Respublikos teisės aktų reikalavimus.
5.5. Asmenys, kuriems yra suteikta teisė tvarkyti asmens duomenis, laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja taip pat ir perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.
5.6. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje. Asmens duomenys, kurie yra atitinkamų dokumentų (sutartys, įsakymai, prašymai ir kt.) tekstuose, yra saugomi vadovaujantis Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro įsakymu, nurodytais terminais. Kiti asmens duomenys yra saugomi ne ilgiau nei tai yra reikalinga šioje tvarkoje numatytiems tikslams pasiekti. Atskirų asmens duomenų saugojimo terminus nustato Įmonės vadovas.
6. Asmens duomenų subjekto teisės
6.1. Duomenų subjektų teisės ir jų įgyvendinimo priemonės:
6.1.1. žinoti apie savo asmens duomenų rinkimą. Įmonė, rinkdama asmens duomenis, privalo informuoti Duomenų subjektą, kokius asmens duomenis Įmonė tvarkys, kokiu tikslu atitinkami duomenys bus tvarkomi, kam ir kokiu tikslu jie gali būti teikiami ir/ ar kokios yra asmens duomenų nepateikimo pasekmės;
6.1.2. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi. Duomenų subjektas turi teisę kreiptis į Įmonę su prašymu pateikti informaciją apie tai, kokie ir kokiu tikslu jo asmens duomenys yra tvarkomi. Įmonė, gavusi Duomenų subjekto prašymą (rašytinį arba elektroniniu laišku), ne vėliau kaip per 30 kalendorinių dienų nuo Duomenų subjekto prašymo gavimo dienos pateikia raštu (rašytinį arba elektroniniu laišku) prašomus duomenis arba nurodo atsisakymo tenkinti tokį prašymą priežastis. Atsakymą Duomenų subjektui pateikia ta pačia forma, kuria buvo gautas prašymas, nebent Duomenų subjekto prašyme yra išreikštas pageidavimas informaciją gauti kitu būdu;
6.1.3. reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti savo asmens domenų tvarkymą;
6.1.4. gauti savo pateiktus Duomenis perskaitoma struktūrizuota forma, jei tai atitinka įstatymų apibrėžtus kriterijus;
6.1.5. atsisakyti pateikti asmens duomenis;
6.1.6. atsisakyti Duomenų tvarkymo, kai tvarkomi duomenys neprivalomi duomenys. Kai Duomenys tvarkomi tiesioginės rinkodaros tikslais, Duomenų subjektas gali prieštarauti tokiam Tvarkymui (teisė prieštarauti). Įmonė, gavusi prašymą (rašytinį arba elektroniniu laišku) nutraukti neprivalomai tvarkomų asmens duomenų tvarkymą, nedelsiant nutraukia tokį tvarkymą, nebent tai prieštarauja teisės aktų reikalavimams, ir apie tai informuoja darbuotoją;
6.1.7. bet kuriuo metu atšaukti bet kokį sutikimą, kurį Duomenų subjektas suteikė registruodamasis ar naudodamasis Įmonės teikiamomis paslaugomis. Toks atsisakymas nepaveiks Duomenų Tvarkymo, įvykdyto iki atsisakymo ir paremto suteiktu sutikimu, teisėtumo;
6.1.8. teikti skundą priežiūros institucijai, jei yra pažeidžiamos Duomenų subjekto teisės.
7. Asmens duomenų saugumo užtikrinimo priemonės
7.1. Prieigos teisės prie asmens duomenų ir įgaliojimai tvarkyti asmens duomenis suteikiami, naikinami ir keičiami Įmonės vadovo įsakymu.
7.2. Asmens duomenys tvarkomi neautomatiniu būdu ir automatiniu būdu naudojant Įmonės taikomas asmens duomenų tvarkymo priemones.
7.3. Įmonė, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
7.4. Įmonėje su asmens duomenų subjektų asmens duomenimis turi teisę susipažinti tik tie asmenys, kurie buvo įgalioti susipažinti su tokiais duomenimis, ir tik tuomet, kai tai yra būtina Taisyklėse numatytiems tikslams pasiekti.
7.5. Įmonė užtikrina patalpų, kuriose laikomi asmens duomenys, saugumą, tinkamą techninės įrangos išdėstymą ir peržiūrą, priešgaisrinės saugos taisyklių laikymąsi, informacinių sistemų priežiūrą bei kitų techninių priemonių, būtinų asmens duomenų apsaugai užtikrinti, įgyvendinimą.
7.6. Įmonė imasi priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodama jai patikėtus dokumentus bei duomenų rinkmenas tinkamai ir saugiai.
7.7. Jei darbuotojas ar kitas Atsakingas asmuo abejoja asmens duomenų saugumu ir/ar įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį savo vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
7.8. Tvarkantis asmens duomenis darbuotojas privalo:
7.8.1. tvarkyti asmens duomenis griežtai vadovaudamasis Lietuvos Respublikos įstatymais, kitais teisės aktais, instrukcijomis ir Taisyklėmis;
7.8.2. saugoti asmens duomenų paslaptį. Toks darbuotojas privalo laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumo principo Įmonės darbuotojas turi laikytis ir pasibaigus darbo santykiams;
7.8.3. neatskleisti, neperduoti ir nesudaryti sąlygų susipažinti su asmens duomenimis asmenims, kurie nėra įgalioti tvarkyti asmens duomenų;
7.8.4. saugoti dokumentus bei duomenų rinkmenas tinkamai bei vengti nereikalingų kopijų darymo. Įmonės dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;
7.8.5. nedelsiant pranešti Įmonės vadovui ar jo paskirtam atsakingam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui ir imtis priemonių tokiai situacijai išvengti.
7.8.6. sunaikinti nereikalingų dokumentų kopijas, kuriose nurodomi asmens duomenys, taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
7.9. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
7.10. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia darbuotojo darbo ar panašaus pobūdžio sutartis su Įmone, arba kai Įmonės vadovas atšaukia darbuotojo paskyrimą tvarkyti asmens duomenis.
7.11. Siekdama užtikrinti asmens duomenų apsaugą, Įmonė įgyvendina arba numato įgyvendinti šias asmens duomenų apsaugos priemones:
7.11.1. administracines (saugaus dokumentų ir kompiuterinių duomenų bei jų archyvų tvarkymo, taip pat įvairių veiklos sričių darbo organizavimo tvarkos nustatymas, personalo supažindinimas su asmens duomenų apsauga ir kt.);
7.12. Darbuotojas ar kitas atsakingas asmuo, nustatęs asmens duomenų tvarkymo pažeidimus, nedelsiant informuoja tiesioginį vadovą, kad Įmonė galėtų imtis neatidėliotinų priemonių užkertant kelią neteisėtam asmens duomenų tvarkymui bei esant poreikiui apie situaciją informuotų asmens duomenų tvarkymo priežiūros instituciją ir Duomenų subjektą.
8. Baigiamosios nuostatos
8.1. Taisyklės peržiūrimos ir atnaujinamos pasikeitus teisės aktams, kurie reglamentuoja asmens duomenų tvarkymą.
8.2. Įmonė turi teisę iš dalies arba visiškai pakeisti Taisykles. Su pakeitimais darbuotojai ir atsakingi asmenys yra supažindinami pasirašytinai arba elektroninėmis priemonėmis, o Duomenų subjektai yra informuojami. Jeigu Duomenų subjektas nesutinka su nauja Taisyklių redakcija, Duomenų subjektas turi teisę atsisakyti naudotis Įmonės bei Įmonės internetiniame puslapyje teikiamomis paslaugomis. Jei po Taisyklių papildymo arba pakeitimo Duomenų subjektas ir toliau naudojasi Įmonės ar Įmonės internetinio puslapio teikiamomis paslaugomis, laikoma, kad Duomenų subjektas sutinka su naująja Taisyklių redakcija.
8.3. Šių Taisyklių nesilaikymas atsižvelgiant į pažeidimo sunkumą gali būti laikomas šiurkščiu darbo pareigų pažeidimu.
8.4. Šioms Taisyklėms bei Šių Taisyklių pagrindu kylantiems santykiams taikoma Lietuvos Respublikos teisė.
8.5. Su šiomis Taisyklėmis pasirašytinai arba elektroninėmis priemonėmis supažindinami Įmonės darbuotojai ir Duomenų tvarkytojai, tvarkantys Įmonės esančius asmens duomenis.