Asmens duomenų tvarkymo taisyklės

UŽDAROJI AKCINĖ BENDROVĖ „ALYTAUS BUTŲ ŪKIS“
(Kodas 149951417)
PATVIRTINTA
Uždarosios akcinės bendrovės „Alytaus butų
ūkis“ direktoriaus
2020 m. gegužės 04 d. įsakymu Nr. ___
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
2020
2
TURINYS
I SKYRIUS ……………………………………………………………………………………………………………………………………..3
BENDROSIOS NUOSTATOS …………………………………………………………………………………………………………3
II SKYRIUS …………………………………………………………………………………………………………………………………….7
PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI………………………………………………..7
III SKYRIUS……………………………………………………………………………………………………………………………………8
ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI……………………………………………………….8
IV SKYRIUS……………………………………………………………………………………………………………………………………9
ASMENS DUOMENŲ TVARKYMO TIKSLAI, SAUGOJIMO TERMINAI IR DUOMENŲ
TEIKIMAS TRETIESIEMS ASMENIMS……………………………………………………………………………………….9
V SKYRIUS…………………………………………………………………………………………………………………………………..11
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI………………………………………………………………………………11
VI SKYRIUS………………………………………………………………………………………………………………………………….12
GPS SISTEMŲ NAUDOJIMAS …………………………………………………………………………………………………….12
VII SKYRIUS ………………………………………………………………………………………………………………………………..13
REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS IR JŲ
ATSAKOMYBĖ……………………………………………………………………………………………………………………………13
VIII SKYRIUS……………………………………………………………………………………………………………………………….14
TECHNINĖS IR ORGANIZACINĖS DUOMENŲ SAUGUMO PRIEMONĖS……………………………….14
IX SKYRIUS………………………………………………………………………………………………………………………………….17
ASMENS DUOMENŲ TVARKYMUI TAIKOMŲ SAUGUMO PRIEMONIŲ SĄRAŠAS ………………17
X SKYRIUS…………………………………………………………………………………………………………………………………..19
ASMENS DUOMENŲ TVARKYTOJAI IR GAVĖJAI ………………………………………………………………….19
XI SKYRIUS………………………………………………………………………………………………………………………………….20
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA…………………………………………..20
XII SKYRIUS ………………………………………………………………………………………………………………………………..24
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS (PDAV) IR IŠANKSTINĖS KONSULTACIJOS
SU PRIEŽIŪROS INSTITUCIJA ………………………………………………………………………………………………….24
XIII SKYRIUS……………………………………………………………………………………………………………………………….25
NEATITIKČIŲ, INCIDENTŲ IR KOREKCINIŲ VEIKSMŲ VALDYMAS…………………………………..25
XIV SKYRIUS……………………………………………………………………………………………………………………………….27
ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS ………………………………………………………………………27
XV SKYRIUS………………………………………………………………………………………………………………………………..28
BAIGIAMOSIOS NUOSTATOS……………………………………………………………………………………………………28
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų
tvarkymo taisyklių (toliau – Taisyklės) tikslas reglamentuoti asmenų, kurių duomenis tvarko Uždaroji akcinė bendrovė „Alytaus butų ūkis“ (toliau – Bendrovė) asmens duomenų tikslus, nustatyti duomenų subjektų teises ir jų įgyvendinimo tvarką, įtvirtinti organizacines ir technines duomenų apsaugos priemones, reguliuoti asmens duomenų tvarkytojo
pasitelkimo atvejus bei užtikrinti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), Bendrojo duomenų apsaugos reglamento (ES) 2016/679 (toliau – BDAR), kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Pagrindinės taisyklėse vartojamos sąvokos:
Sąvoka Apibrėžimas
Asmens duomenys bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas) tiesiogiai arba netiesiogiai, visų pirma pagal identifikatorių, pavyzdžiui vardą ir pavardę, asmens kodą, buvimo vietos duomenis arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Pavyzdžiui: vaizdo įrašas, garso įrašas, pirkinių istorija, naršymo svetainėje statistika, lojalumo kortelės numeris ir pan. Duomenų subjektas fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar duomenų tvarkytojas. Pavyzdžiui: darbuotojas, klientas, vartotojas, gyventojas ir pan. Asmens duomenų tvarkymas (toliau – duomenų tvarkymas) bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui rinkimas, įrašymas, rūšiavimas, kaupimas, klasifikavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas. Duomenų valdytojas fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones. Duomenų tvarkytojas fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis. Pavyzdžiui: personalo apskaitos sistemos tiekėjas, informacinių technologijų, serverio, interneto parduotuvės sistemos ar talpinimo paslaugos tiekėjas ir pan.
Duomenų valdytojas (toliau – Įmonė) Uždaroji akcinė bendrovė „Alytaus butų ūkis“, 149951417, Vingio g. 5, Alytus Duomenų gavėjas fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valdžios institucijos, kurios pagal valstybės narės teisės aktus gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos
4
duomenis tos valdžios institucijos laikosi taikomų duomenų
tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.
Trečioji šalis fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita
įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas,
duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų
valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti
asmens duomenis. Pavyzdžiui: partneriai, tiekėjai, nuomotojai,
Valstybinė mokesčių inspekcija, bankai ir pan.
Specialių kategorijų asmens
duomenys
asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines
pažiūras, religinius ar filosofinius įsitikinimus ar narystę
profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai
duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę,
sveikatos duomenys (asmens duomenys, susiję su fizine ar
psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos
priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to
fizinio asmens sveikatos būklę) arba duomenys apie fizinio
asmens lytinį gyvenimą ir lytinę orientaciją.
Duomenų apsaugos
pareigūnas (toliau –
Pareigūnas)
Bendrovės vadovo paskirtas darbuotojas ar paslaugų teikėjas,
atliekantis BDAR nustatytas duomenų apsaugos pareigūno
funkcijas.
Duomenų subjekto
sutikimas
bet koks laisva valia duotas, konkretus ir nedviprasmiškas
tinkamai informuoto duomenų subjekto valios išreiškimas
pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad
būtų tvarkomi su juo susiję asmens duomenys.
Įgalioti tvarkyti asmens
duomenis darbuotojai
duomenų valdytojo darbuotojai (t. y. asmenys tarp kurių ir
duomenų valdytojo yra sudarytos darbo sutartys) ir / arba kiti
fiziniai asmenys, kurie sutarčių ar kitu pagrindu turi teisę tvarkyti
duomenų valdytojo tvarkomus asmens duomenis.
GPS signalas Globalinės padėties nustatymo sistemos siunčiamas signalas vietos
koordinatėms nustatyti.
Asmens duomenų įrašymo
įrenginiai
Bendrovės esantys skaitmeniniai įrenginiai, skirti GPS koordinačių
signalams įrašyti, saugoti, peržiūrėti ir kopijuoti.
Interneto svetainė Bendrovės svetainė, kurioje yra pristatoma Bendrovės veikla.
Techninės ir organizacinės
saugumo priemonės
tai priemonės, kuriomis siekiama apsaugoti asmens duomenis nuo
atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo,
pakeitimo, neteisėto atskleidimo ar prieigos, ypač tais atvejais, kai
tvarkymas susijęs su duomenų perdavimu tinkle, ir visos kitos
neteisėtos tvarkymo formos.
Duomenų bazė yra organizuotas (susistemintas, metodiškai sutvarkytas) duomenų
rinkinys, kuriuo galima individualiai naudotis elektroniniu ar kitu
būdu.
Neatitiktis bet koks įvykis, turėjęs ar galintis turėti įtakos asmens duomenų
saugumui.
Informacijos saugumo
įvykis
nustatytas sistemos, tarnybos ar tinklo įvykis, rodantis, kad yra
galima saugumo užtikrinimo spraga ar apsaugos priemonių trikdis
arba anksčiau nenumatyta situacija, kuri gali būti svarbi saugumui.
Informacijos saugumo
incidentas
vienas ar daugiau nepageidaujamų ir netikėtų informacijos
saugumo įvykių, turinčių didelę tikimybę pakenkti veiklai ir
keliančių grėsmę informacijos saugumui.
Korekcinis veiksmas veiksmas, atliekamas siekiant pašalinti nustatytos neatitikties ar
kitos nepageidaujamos situacijos priežastį.
Asmens duomenų saugumo saugumo pažeidimas, dėl kurio netyčia arba neteisėtai
5
pažeidimas sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami
persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba
prie jų be leidimo gaunama prieiga.
Asmens duomenų
tvarkymo registravimo
žurnalas
Bendrovės įgalioto (-ų) darbuotojo (-ų) pildomas žurnalas, skirtas
Bendrovės pateiktų prašymų, susijusių su asmens duomenų
tvarkymu registracijai ir administravimui. Duomenų subjektų
prašymus dėl tvarkomų asmens duomenų priima ir Bendrovės
Asmens duomenų tvarkymo registravimo žurnale (Taisyklių
priedas Nr. 1) užregistruoja Pareigūnas arba Bendrovės vadovo
įgaliotas darbuotojas.
Duomenų tvarkymo veiklos
įrašas (toliau – DTVĮ)
Dokumentas, kuriame fiksuojama Bendrovės vykdomų duomenų
tvarkymo veiklų tikslai, duomenų subjektai, duomenų gavėjai,
duomenų ištrynimo terminai ir kita reikalaujama arba reikšminga
informacija apie duomenų tvarkymo veiklas.
Priežiūros institucija Valstybinė duomenų apsaugos inspekcija (toliau – VDAI).
3. Kitos, aukščiau nenurodytos Taisyklėse vartojamos sąvokos atitinka ADTAĮ ir BDAR
vartojamas sąvokas.
4. Taisyklės taikomos tvarkant fizinių asmenų duomenis tiek automatiniu būdu, tiek
neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: klientų sąrašus,
kartotekas, bylas, sąvadus ir kita.
5. Taisyklės privalomos visiems Bendrovės pagal darbo sutartis dirbantiems darbuotojams
(toliau – Darbuotojai), kurie yra įgalioti tvarkyti Bendrovės esančius asmens duomenis arba eidami
savo pareigas juos sužino, bei kitiems sutartiniais pagrindais paslaugas teikiantiems asmenims,
kurie gali tvarkyti arba sužino asmens duomenis.
6. Duomenų valdytojas turi
šias teises:
6.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius
duomenų tvarkymą;
6.2. spręsti dėl tvarkomų asmens duomenų teikimo;
6.3. paskirti už asmens duomenų apsaugą atsakingus asmenis;
6.4. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;
6.5. kitas teisės aktuose nustatytas teises.
7. Duomenų valdytojas turi
šias pareigas:
7.1. užtikrinti ADTAĮ ir kituose teisės aktuose,
reglamentuojančiose asmens duomenų tvarkymą, nustatytų asmens
duomenų tvarkymo reikalavimų laikymąsi;
7.2. įgyvendinti duomenų subjekto teises ADTAĮ ir šiose
Taisyklėse nustatyta tvarka;
7.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas
organizacines ir technines asmens duomenų saugumo priemones;
7.4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų
reikiamas technines ir organizacines asmens duomenų apsaugos
priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;
7.5. teisės aktų nustatytais atvejais paskirti duomenų apsaugos
pareigūną;
7.6. teisės aktų nustatytais atvejais pildyti duomenų tvarkymo
veiklos įrašus;
7.7. teisės aktų nustatytais atvejais atlikti poveikio duomenų
apsaugai vertinimą;
7.8. valdyti asmens duomenų saugumo pažeidimus ir teisės
aktuose nustatytais atvejais pranešti apie juos priežiūros institucijai
ir duomenų subjektams;
7.9. kitas teisės aktuose nustatytas pareigas.
8. Duomenų valdytojas 8.1. nustato duomenų tvarkymo tikslus ir priemones;
6
atlieka šias funkcijas: 8.2. organizuoja duomenų tvarkymą;
8.3. analizuoja technologines, metodologines ir organizacines
duomenų tvarkymo problemas ir priima sprendimus, reikalingus
tinkamam duomenų tvarkymui užtikrinti;
8.4. teikia metodinę pagalbą darbuotojams duomenų tvarkymo
klausimais;
8.5. organizuoja darbuotojų mokymus asmens duomenų teisinės
apsaugos klausimais;
8.6. užtikrina duomenų subjekto teisių įgyvendinimą;
8.7. kitas teisės aktuose nustatytas funkcijas.
7
II SKYRIUS
PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
1. Bendrovės asmens
duomenys tvarkomi
laikantis šių asmens
duomenų tvarkymo ir
apsaugos principų:
1.1. Asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai
(teisėtumo, sąžiningumo ir skaidrumo principas);
1.2. Asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei
teisėtais tikslais ir toliau netvarkyti tikslais, nesuderinamais su
nustatytaisiais prieš renkant asmens duomenis (tikslo apribojimo
principas); Tolesnis duomenų tvarkymas archyvavimo tikslais
viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba
statistiniais tikslais nėra laikomas nesuderinamu su pirminiais
tikslais. Bendrovės darbuotojai turi teisę rinkti, tvarkyti, perduoti,
saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami
savo tiesiogines funkcijas, apibrėžtas pareigybės aprašyme ar
kitame Bendrovės lokaliniame teisės akte arba Bendrovės vadovo
pavedimu ir tik teisės aktų nustatyta tvarka. Bendrovės
darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti,
saugoti, naikinti ar kitaip naudoti asmens duomenis;
1.3. Tvarkomi asmens duomenys turi būti adekvatūs, tinkami ir tik
tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų
kiekio mažinimo principas);
1.4. Tvarkomi asmens duomenys turi būti tikslūs ir prireikus
atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti,
kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų
tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo
principas);
1.5. Tvarkomus asmens duomenis laikyti tokia forma, kad duomenų
subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina
tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens
duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens
duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso
labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais,
įgyvendinus atitinkamas technines ir organizacines priemones, kurių
reikalaujama BDAR siekiant apsaugoti duomenų subjekto teises ir
laisves (saugojimo trukmės apribojimo principas);
1.6. Tvarkomi tokiu būdu, kad taikant atitinkamas technines ar
organizacines priemones būtų užtikrintas tinkamas asmens duomenų
saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo
arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo,
sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo
principas);
1.7. Duomenų valdytojas yra atsakingas ir turi sugebėti įrodyti, kad
yra laikomasi aukščiau nurodytų principų (atskaitomybės
principas).
2. Asmens duomenų tvarkymo principų laikymąsi užtikrina Bendrovės vadovas ir jo įgalioti
darbuotojai, imdamiesi atitinkamų organizacinių priemonių (įsakymai, nurodymai,
rekomendacijos, pavedimai ir pan.), kad būtų įgyvendintos Duomenų valdytojui priskirtos
prievolės. Pavyzdžiui: įpareigoti nutraukti neteisėtus ar asmens duomenų apsaugos reikalavimus
pažeidžiančius duomenų tvarkymo veiksmus, sunaikinti dokumentų, kuriuose yra nurodyti asmens
duomenys, kopijas ir pan.).
8
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI
1. Įmonė asmens duomenis
tvarko tik esant bent vienam
iš šių teisinių pagrindų:
1.1. Duomenų subjektas duoda sutikimą, kad jo asmens duomenys
būtų tvarkomi vienu ar keliais konkrečiais tikslais (pavyzdžiui,
Bendrovės interneto svetainėje duomenų subjektas užsisako
naujienlaiškius pateikdamas savo el. pašto adresą);
1.2. Duomenų tvarkymas yra būtinas siekiant įvykdyti sutartį,
kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų
duomenų subjekto prašymu prieš sudarant sutartį;
1.3. Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų
valdytojui taikoma teisinė prievolė;
1.4. Tvarkyti duomenis būtina, siekiant apsaugoti duomenų subjekto
ar kito asmens gyvybinius interesus (pavyzdžiui, Įmonė tvarko
darbuotojo artimųjų kontaktinius duomenis, su kuriais galėtų
susisiekti įvykus nelaimei ar ekstremaliam įvykiui);
1.5. Duomenų tvarkymas yra būtinas viešojo intereso labui arba
vykdant pavestas viešosios valdžios funkcijas;
1.6. Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo ar
trečiosios šalies interesų, išskyrus atvejus, kai duomenų subjekto
interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti
asmens duomenų apsaugą, yra už šiuos duomenų valdytojo teisėtus
interesus viršesni, ypač kai duomenų subjektas yra vaikas
(pavyzdžiui, Įmonė vykdo vaizdo stebėjimą darbuotojų, kitų
duomenų subjektų ir turto saugumo užtikrinimo tikslu.
2. Įmonė specialių
kategorijų asmens duomenis
tvarko tik esant bent vienam
iš šių pagrindų:
2.1. Tvarkyti duomenis būtina, kad duomenų valdytojas arba
duomenų subjektas galėtų įvykdyti prievoles ir naudotis
specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje,
kiek tai leidžiama Europos Sąjungos arba valstybės narės teisėje
arba pagal valstybės narės teisę sudaryta kolektyvine sutartimi,
kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir
interesų apsaugos priemonės;
2.2. Tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai
duomenų subjekto arba kito fizinio asmens interesai, kai duomenų
subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;
2.3. Tvarkomi asmens duomenys, kuriuos duomenų subjektas yra
akivaizdžiai paskelbęs viešai;
2.4. Tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba
apginti teisinius reikalavimus;
2.5. Tvarkyti duomenis būtina dėl svarbių viešojo intereso
priežasčių, vadovaujantis Europos Sąjungos arba valstybės narės
teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti
esminių teisės į duomenų apsaugą nuostatų;
2.6. Tvarkyti duomenis būtina profilaktinės arba darbo medicinos
tikslais, siekiant įvertinti darbuotojo darbingumą;
2.7. Tvarkyti duomenis būtina dėl viešojo intereso priežasčių
visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo
rimtų tarpvalstybinio pobūdžio grėsmių sveikatai.
9
IV SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI, SAUGOJIMO
TERMINAI IR DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
1.Asmens duomenys
Bendrovės tvarkomi šiais
tikslais (įskaitant, bet
neapsiribojant atvejais kai
gaunamas atskiras duomenų
subjekto sutikimas dėl
duomenų tvarkymo):
1.1. Darbdavio teisinių prievolių vykdymas: darbo sutarčių
sudarymas, tinkamas vykdymas, apskaita (darbo užmokesčio ir kitų
išmokų administravimas) ir nutraukimas; Mokymai; Duomenų
valdytojo kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamas
vykdymas; Tinkamos komunikacijos su darbuotojais ne darbo metu
palaikymas; Tinkamų darbo sąlygų užtikrinimas (struktūros
tvarkymas, esamų ir buvusių darbuotojų informacijos valdymas,
dokumentų valdymas, turimų materialinių ir finansinių išteklių
valdymas);
1.2. Bendrovės paslaugų teikimas (daugiabučių gyvenamųjų namų
bendrojo naudojimo objektų techninės priežiūros ir remonto,
negyvenamų patalpų ir visuomeninės paskirties objektų techninė
priežiūra ir remontas); daugiabučių namų renovacijos
(modernizavimo) ir kredito administravimas; butų savininkams ir
nuomininkams bei visiems pageidaujantiems visų bendrastatybinių
darbų atlikimas; įmokų surinkimas ir administravimas, skolininkų
apskaita, skolų išieškojimas ir administravimas, kredito
administravimas, buhalterijos tvarkymas; daugiabučių namų
savininkų bendrijų vadovų ir jungtinės veiklos sutarčių dalyvių
įgaliotų atstovų konsultavimas.
1.3. Bendrovės veiklos užtikrinimo ir tęstinumo vykdymas: sutarčių
sudarymo bei vykdymo, pirkimų procedūrų organizavimas ir
vykdymas; Užklausų, komentarų ir nusiskundimų administravimas;
1.4. Nuosavybės teise ar kitu teisiniu pagrindu valdomo turto –
transporto priemonių ir darbuotojų, besinaudojančių šiuo turtu –
apsauga (GPS sistemų naudojimas).
2.Kiekvienu tikslu atskirai, Bendrovės sudaromas DTVĮ, kuriame nurodomas duomenų saugojimo
terminas, duomenų gavėjų kategorijos ir kita papildoma informacija.
3.Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai.
4.Pasibaigus duomenų saugojimo terminui asmens duomenys yra visam laikui ištrinami,
sunaikinami, išskyrus, jei teisės aktai nenumato kitaip.
5.Dėl asmens duomenų naikinimo dokumentuose, informacinėse sistemose ir duomenų bazėse,
darbuotojai privalo kreiptis į Bendrovės vadovo įgaliotą darbuotoją.
6. Sunaikinimas
apibrėžiamas kaip fizinis ar
techninis veiksmas, kuriuo
duomenys padaromi
neatkuriamais:
6.1. elektronine forma saugomi asmens duomenys sunaikinami juos
ištrinant be galimybės atkurti;
6.2. popieriniai dokumentai, kuriuose yra asmens duomenų,
susmulkinami, o likučiai saugiu būdu sunaikinami.
7.Jeigu duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar
kitais teisės aktų nustatytais atvejais, duomenys gali būti saugomi tiek, kiek reikalinga šiems
duomenų tvarkymo tikslams pasiekti ir sunaikinami nedelsiant, kai tampa nebereikalingi.
8.Asmens duomenų perdavimas Bendrovės viduje vyksta darbuotojams susirašinėjant darbo el.
paštu, perduodant rašytinius dokumentus, naudojantis kitomis informacinėmis sistemomis.
9.Bendrovės tvarkomus asmens duomenis, Įmonė gali perduoti tretiesiems asmenims vykdant
teisės aktuose įtvirtintas Bendrovės pareigas, valstybės ir (ar) savivaldos institucijų nurodymus bei
kitų teisės aktų nustatytais atvejais ir tvarka.
10. Asmens duomenys Bendrovės gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar
10
teismui dėl administracinių, civilinių, baudžiamųjų bylų kaip įrodymai arba kitais teisės aktų
nustatytais atvejais. Įmonė gali pateikti asmens duomenis savo duomenų tvarkytojams, kurie teikia
Įmonei paslaugas ir tvarko asmens duomenis Bendrovės vardu. Duomenų tvarkytojai turi teisę
tvarkyti asmens duomenis tik pagal Bendrovės nurodymus ir tik ta apimtimi, kiek tai yra būtina
siekiant tinkamai vykdyti sutartyje nustatytus įsipareigojimus. Įmonė pasitelkia tik tuos duomenų
tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus
įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų BDAR reikalavimus ir būtų užtikrinta
duomenų subjekto teisių apsauga.
11
V SKYRIUS
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
1. Teisės aktų nustatytais atvejais, Įmonė privalo sudaryti ir tvarkyti DTVĮ, kurie būtini tam, kad
Įmonė turėtų nuolatinę ir aktualią informaciją apie savo vykdomos duomenų tvarkymo veiklos
apimtis, joje dalyvaujančius asmenis, naudojamas tvarkymo priemones.
2. DTVĮ sudarymo formą ir formatą parengia Pareigūnas arba įgaliotas Bendrovės darbuotojas,
atsižvelgdamas į Priežiūros institucijos rekomendacijas.
3. DTVĮ yra Bendrovės vidaus dokumentai, kuriuose gali būti konfidencialios informacijos. Todėl
DTVĮ negali būti viešinami ir turi būti saugomi kaip ir kita Bendrovės konfidenciali informacija.
4. Siekiant užtikrinti Bendrovės atitikties BDAR įrodymus, už DTVĮ sudarymo, keitimo ir
atnaujinimo organizavimą ir centralizuotą jų tvarkymą atsakingas Pareigūnas arba įgaliotas
Bendrovės darbuotojas. Bendrovės vadovo įgaliotas darbuotojas yra tiesiogiai atsakingas už
informacijos, reikalingos DTVĮ sudaryti, pakeisti ar atnaujinti, surinkimą, jų projektų paruošimą
bei pateikimą Pareigūnui arba Bendrovės vadovo įgaliotam darbuotojai.
5. Kai Bendrovės pradedamas ar keičiamas veiklos procesas ar funkcija susiję su duomenų
tvarkymu, Bendrovės vadovas turi užtikrinti, kad apie tokį procesą ar jų pokyčius būtų surinkta
visa informacija, reikalinga DTVĮ parengti ar pakeisti.
6. DTVĮ yra tvarkomi raštu. Rašytinei formai yra prilyginama ir elektroninė forma, saugoma
kompiuteryje.
7. Tvarkant DTVĮ turi būti užtikrinamas jų pakeitimų atsekamumas, tam kad būtų galima nustatyti,
kokie pakeitimai buvo daromi DTVĮ, kada jie buvo atlikti ir dėl kokių priežasčių.
8. DTVĮ yra tikrinami ir atnaujinami pagal poreikį, kad atitiktų realią asmens duomenų tvarkymo
situaciją Bendrovės.
9. DTVĮ turi būti pateikiami Priežiūros institucijai gavus jos prašymą. Už DTVĮ pateikimą
atsakingas Pareigūnas arba Bendrovės vadovo įgaliotas darbuotojas.
12
VI SKYRIUS
GPS SISTEMŲ NAUDOJIMAS
1.GPS duomenys tvarkomi siekiant užtikrinti operatyvų gedimų šalinimo procesą, optimaliai
panaudoti darbo jėgos išteklius, apsaugoti darbuotoją bei automobilį ir jame esantį turtą, užtikrinti
teisingą automobilio sunaudotų degalų apskaitą.
2.Įmonė vietos nustatymo įrenginių naudojimą vykdo bei GPS duomenų tvarkymą vykdo tik
teisėtiems ir šiose Taisyklėse nurodytiems tikslams pasiekti.
3.GPS stebėjimo/kontrolės priemonių įdiegimas Bendrovės automobiliuose, kuriuos vairuoja
Bendrovės darbuotojai, padeda nustatyti automobilių judėjimo greitį, vietą ir maršrutą.
4.Darbuotojai ir kiti asmenys, kuriems yra suteikta teisė tvarkyti GPS duomenis, privalo laikytis
konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją,
su kuria jie susipažino vykdydami savo pareigas. Pareiga saugoti asmens duomenų paslaptį galioja ir
perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.
5.Darbuotojai, turintys teisę
tvarkyti, naudoti asmens
duomenis:
5.1. Darbuotojai, kuriems asmens duomenys yra būtini darbo
funkcijoms vykdyti, ir tik tuomet, kai tai būtina atitinkamiems tikslams
pasiekti. Bendrovės darbuotojams draudžiama tvarkyti duomenų
subjekto duomenis kitais nei Taisyklėse numatytais tikslais.
6.GPS duomenys saugomi pagal Bendrovės nustatytą terminą, o nustačius pažeidimą – iki tyrimo
pabaigos. Suėjus nustatytam terminui asmens duomenys sunaikinami.
7.Prieiga prie GPS įrašymo sistemų naikinama, pasibaigus Bendrovės ir darbuotojų darbo santykiams,
pasikeitus jų darbo funkcijoms, kurioms vykdyti prieiga prie GPS įrašymo sistemų nereikalinga arba
atsiradus kitoms objektyvioms aplinkybėms, dėl kurių prieiga prie GPS įrašymo sistemų turėtų būti
panaikinta.
8.Automobiliuose, kurie gali būti naudojami ir ne darbo metu asmeniniais tikslais, turi būti įdiegta
sistema, leidžianti darbuotojams išjungti vietos nustatymo funkciją.
9.Bendrovės vadovo
įgaliotas (-i) tvarkyti GPS
sistemą darbuotojas (-ai)
turi teisę:
9.1. peržiūrėti GPS koordinačių istoriją;
9.2. stebėti gyvai GPS koordinačių judėjimą.
13
VII SKYRIUS
REIKALAVIMAI DARBUOTOJAMS, TVARKANTIEMS ASMENS
DUOMENIS IR JŲ ATSAKOMYBĖ
1. Darbuotojas, tvarkantis
duomenų subjektų asmens
duomenis, privalo:
1.1. laikytis su asmens duomenų tvarkymu susijusių principų ir
saugumo reikalavimų, įtvirtintų BDAR, ADTAĮ, šiose Taisyklėse ir
kituose teisės aktuose, reglamentuojančiuose asmens duomenų
tvarkymą ir privatumo apsaugą;
1.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet
kokią su asmens duomenimis susijusią informaciją, su kuria jis
susipažino vykdydamas savo funkcijas, nebent tokia informacija
būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.
Bendrovės darbuotojai, kurie tvarko asmens duomenis arba kuriems
Bendrovės vadovo įsakymo pagrindu suteikti įgaliojimai ir / arba
prieiga prie asmens duomenų, privalo pasirašyti Darbuotojo
įsipareigojimą saugoti asmens duomenis ir duomenis tvarkyti tik
tokia apimtimi, kiek tai susiję su jų darbo funkcijomis. Pareiga
saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas
pareigas ar pasibaigus darbo santykiams; Konfidencialumo taisyklė
taikoma tiek tais atvejais, kuomet darbuotojui prieigą prie asmens
duomenų suteikė Įmonė, tiek tais atvejais, kuomet darbuotojas pats
sužinojo asmens duomenis.
1.3. laikytis Taisyklėse nustatytų techninių ir organizacinių
asmens duomenų saugumo priemonių, kad būtų užkirstas kelias
atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui,
pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam
tvarkymui, saugoti dokumentus, duomenų rinkmenas bei duomenų
bazėse saugomus duomenis ir vengti nereikalingų kopijų darymo;
Dokumentų kopijos, kuriose nurodomi duomenų subjekto
duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų
nebūtų galima atkurti ir atpažinti jų turinio;
1.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis
priemonėmis susipažinti su asmens duomenimis nė vienam
asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenis (švaraus
stalo politika); Jeigu darbuotojui kyla abejonių, ar konkretus
duomenų subjektas turi teisę gauti asmens duomenis, jis privalo
konsultuotis su Pareigūnu arba Bendrovės vadovo įgaliotu
darbuotoju ir tik gavęs teigiamą atsakymą turi teisę pateikti asmens
duomenis;
1.5. darbuotojai turi teisę ir pareigą nedelsiant pranešti
tiesioginiam vadovui, Pareigūnui arba Bendrovės vadovo įgaliotam
darbuotojui, apie bet kokią įtartiną situaciją, pastebėtus neteisėto
asmens duomenų tvarkymo atvejus (įskaitant šių Taisyklių
pažeidimus) kurie gali kelti grėsmę Bendrovės tvarkomų asmens
duomenų saugumui;
1.6. laikytis kitų Taisyklėse ir asmens duomenų apsaugą
reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
2. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia jo darbo santykiai su Įmone
arba kai jam pavedama vykdyti su duomenų tvarkymu nesusijusias funkcijas.
14
VIII SKYRIUS
TECHNINĖS IR ORGANIZACINĖS DUOMENŲ SAUGUMO
PRIEMONĖS
1. Įmonė, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines
priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo,
atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Nustačius asmens duomenų saugumo
pažeidimus, Įmonė imasi neatidėliotinų priemonių užkirsti kelią neteisėtam asmens duomenų
tvarkymui.
2. Įmonė, atsižvelgiant į darbuotojo einamas pareigas, savo nuožiūra darbuotojams suteikia darbo
priemones. Įmonei priklausančios Informacinės ir komunikacinės technologijos, t. y. kompiuteriai,
mobilieji telefonai, prieiga prie interneto, elektroninis paštas, spausdintuvai, duomenų laikmenos ir
kiti prietaisai, yra skirtos išimtinai darbuotojų darbo funkcijoms vykdyti, jeigu Įmonė su darbuotoju
nesusitaria kitaip.
3. Siekiant apsaugoti
duomenų subjekto duomenis
nuo atsitiktinio ar neteisėto
sunaikinimo, pakeitimo,
atskleidimo, nuo bet kokio
kito neteisėto tvarkymo turi
būti taikomos tokios
organizacinės ir techninės
priemonės:
3.1. Infrastruktūrinės priemonės: tinkamas techninės įrangos
išdėstymas ir priežiūra, informacinių duomenų saugojimo priemonių
fizinių ir programinių saugumo priemonių įgyvendinimas, griežtas
priešgaisrinės apsaugos tarnybų nustatytų normų laikymasis ir kt.;
3.2. Administracinės priemonės: tinkamas darbo organizavimas,
informacinių sistemų priežiūra;
3.3. Telekomunikacinės priemonės: tinklo valdymas, naudojimosi
internetu saugumo užtikrinimas ir kt.
4. Darbuotojai privalo taip
organizuoti savo darbą, kad
kiek įmanoma apribotų
galimybę kitiems asmenims
(kitiems Bendrovės
darbuotojams, praktikantams,
savanorišką praktiką
atliekantiems ar kitiems
tretiesiems asmenims)
sužinoti tvarkomus asmens
duomenis. Ši nuostata
įgyvendinama:
4.1. nepaliekant dokumentų, su tvarkomais asmens duomenimis ar
kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su
asmens duomenimis, be priežiūros taip, kad juose esančią
informaciją galėtų perskaityti darbuotojai, neturintys teisės dirbti su
konkrečiais asmens duomenimis ar kiti asmenys;
4.2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų
perskaityti atsitiktiniai asmenys;
4.3. jei dokumentai, kuriose yra asmens duomenų, kitiems
darbuotojams, įstaigoms perduodami per asmenis, kurie neturi teisės
tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti
perduodami užklijuotame nepermatomame voke. Šis punktas
netaikomas, jeigu minėti pranešimai įteikiami klientams, kitiems
interesantams asmeniškai ir konfidencialiai.
5. Darbuotojams,
naudojantiems elektroninį
paštą, interneto prieigą ir kitą
informacinių technologijų ir
telekomunikacijų įrangą,
draudžiama:
5.1. siųsti elektroninio pašto žinutes, naudojantis kito asmens arba
neegzistuojančiu elektroninio pašto adresu;
5.2. siųsti elektroninio pašto žinutes, nuslepiant savo tapatybę;
5.3. negavus Bendrovės vadovo sutikimo, siųsti elektroninius
laiškus, kuriuose yra informacija pripažįstama konfidencialia
informacija ar Bendrovės komercine paslaptimi, išskyrus, jei
informacija siunčiama asmeniui, kuris turi teisę gauti šią
informaciją;
5.4. negavus Bendrovės vadovo sutikimo perduoti, platinti, atskleisti
tretiesiems asmenims darbui su technine ir programine įranga jiems
suteiktus prieigos vardus, slaptažodžius ar kitus duomenis;
5.5. kurti ar platinti laiškus, skatinančius gavėją siųsti laiškus
kitiems. Laiškai su perspėjimais dėl kompiuterinių virusų, telefonų
pasiklausymų ar kitų tariamų reiškinių, kuriuose prašoma nusiųsti
gautą laišką visiems savo kolegoms, draugams ar pažįstamiems, turi
15
būti nedelsiant ištrinami. Jei pranešimas sukelia įtarimų, prieš jį
pašalinant, pranešti tiesioginiam arba Bendrovės vadovui;
5.6. naudoti interneto prieigą ir elektroninį paštą asmeniniams
tikslams, Lietuvos Respublikos įstatymais draudžiamai veiklai,
šmeižiančio, įžeidžiančio, grasinančiojo pobūdžio ar visuomenės
dorovės ir moralės principams prieštaraujančiai informacijai,
kompiuterių virusams, masinei nepageidaujamai informacijai
„spam“ siųsti ar kitiems tikslams, galintiems pažeisti Bendrovės ar
kitų asmenų teisėtus interesus;
5.7. atlikti veiksmus, pažeidžiančius fizinio ar juridinio asmens
teises, kurias saugo autorių, gretutinių ir intelektinės nuosavybės
teisių apsaugos įstatymai. Tarp tokių veiksmų yra programinės
įrangos diegimas, naudojimas, saugojimas arba platinimas neturint
licencijos, neleistinas autorių teisėmis apsaugotų kūrinių
kopijavimas;
5.8. parsisiųsti arba platinti tiesiogiai su darbu nesusijusią grafinę,
garso ir vaizdo medžiagą, žaidimus ir programinę įrangą, siųsti
duomenis, kurie užkrėsti virusais, turi įvairius kitus programinius
kodus, bylas, galinčias sutrikdyti kompiuterinių ar
telekomunikacinių įrenginių bei programinės įrangos funkcionavimą
ir saugumą;
5.9. atskleisti prisijungimo prie Bendrovės sistemų informaciją
(prisijungimo vardą, slaptažodį) arba leisti naudotis savo
prisijungimo vardu kitiems asmenims; Dirbant su slaptažodžiais
reikia laikytis taisyklių:
5.9.1. saugoti slaptažodį. Neužrašinėti jo ant popieriaus skiaučių,
kalendorių ir pan. Nepalikti lapelio su slaptažodžiu priklijuoto prie
vaizduoklio arba prie apatinės darbo stalo pusės;
5.9.2. nenaudoti trumpų ir elementarių slaptažodžių sudarytų iš
reikšminių žodžių;
5.10. apeiti ar kitaip pažeisti bet kurio kompiuterio, tinklo ar
paskyros autentifikacijos arba saugumo sistemas;
5.11. ardyti ar išmontuoti ar kitaip keisti kompiuterinę įrangą;
5.12. perkopijuoti programinę įrangą;
5.13. savarankiškai šalinti kompiuterinės įrangos gedimus;
5.14. parsisiųsti ar žaisti internetinius ar kitus kompiuterinius
žaidimus;
5.15. savavališkai blokuoti antivirusines programas ar kitas
programas;
5.16. sutrikdyti kompiuterinės sistemos darbą arba panaikinti
galimybę naudotis teikiama paslauga ar informacija;
5.17. dalyvauti interneto lažybose ir azartiniuose lošimuose;
5.18. naudoti Bendrovės išteklius komercinei veiklai vystyti ar
naudai gauti;
5.19. savavališkai keisti kompiuterių ar kitų prietaisų tinklo
parametrus (IP adresą ir pan.), savarankiškai keisti, taisyti
informacinių technologijų ir telekomunikacijų techninę ir
programinę įrangą;
5.20. pažeisti kitų tinklų, kurių paslaugomis naudojamasi, naudojimo
arba ekvivalentiškas taisykles;
5.21. savavališkai keisti interneto naršyklės ir elektroninio pašto
programinės įrangos parametrus, susijusius su apsauga arba
16
prisijungimo būdu, nepaisyti bet kurio iš įdiegtų saugumo
mechanizmų;
5.22. atlikti bet kokius kitus su darbo funkcijų vykdymu nesusijusius
ir teisės aktams prieštaraujančius veiksmus;
5.23. neįgaliotiems asmenimis Bendrovės ar už Bendrovės ribų
naudoti ir perduoti slaptažodžius ir kitus duomenis, kuriais
pasinaudojus programinėmis ir techninėmis priemonėmis galima
sužinoti Bendrovės duomenis ar kitaip sudaryti sąlygas susipažinti su
Bendrovės duomenimis.
6. Keitimosi informacija
politika
6.1. Perduodant informaciją elektroniniu paštu, būtina:
6.1.1. atidžiai užrašyti adresato elektroninio pašto adresą, kad
informacija nebūtų perduota kitam asmeniui;
6.1.2. už organizacijos ribų siunčiamiems laiškams naudoti el. pašto
programoje numatytą el. laiško parašą (angl. ,,signature“) ir jo
nekeisti;
6.1.3. priimant sprendimus pagal elektroniniu paštu gautą
informaciją, būtina įsitikinti šios informacijos tikrumu (kitas asmuo
gali apsimesti tikruoju siuntėju). Kilus įtarimui bei svarbiais atvejais
rekomenduojama susisiekti su siuntėju ir įsitikinti ar gautas laiškas
buvo jo išsiųstas;
6.2. Neatverti pridėtų (angl. „attached“) failų, kurie yra gauti iš
nepažįstamų asmenų, arba nėra galimybės įsitikinti šių failų turiniu;
6.3. Už pašalinių asmenų naudojimąsi internetu kompiuteryje ir
informacijos perdavimą elektroniniu paštu yra atsakingas
kompiuterio naudotojas.
7. Bendros apsaugos nuo
virusų taisyklės:
7.1. prieš naudojant nežinomas išorines duomenų laikmenas arba
kurios buvo naudojamos kitame kompiuteryje, būtina atlikti jų
antivirusinę profilaktiką;
7.2. kilus įtarimui patikrinti kompiuterį nuo virusų;
7.3. siekiant išvengti kompiuterinių virusų, nepaleisti nežinomų
programų. Gavus nežinomų siuntėjų atsiųstų elektroninių laiškų
priedus, kuriuose gali būti kompiuterinių virusų, darbuotojas privalo
neatidaryti gautų elektroninių laiškų priedų ir informuoti tiesioginį
arba Bendrovės vadovą;
7.4. darbuotojas, pastebėjęs virusų atakos požymius, privalo išjungti
kompiuterį ir kreiptis į tiesioginį arba Bendrovės vadovą.
8. Įmonė pasilieka teisę be atskiro darbuotojo įspėjimo riboti prieigą prie atskirų interneto svetainių ar
programinės įrangos. Nepakankant minėtų priemonių, Įmonė gali tikrinti, kaip darbuotojas laikosi
elektroninio pašto ir interneto resursų naudojimo reikalavimų nurodytais tikslais, tiriant incidentus,
atiduoti darbuotojų naudojamą įrangą tirti tretiesiems asmenims, kurie teisės aktų nustatyta tvarka turi
teisę tokius duomenis gauti.
9. Įmonė neužtikrina darbuotojų asmeninės informacijos konfidencialumo darbuotojams,
naudojantiems elektroninį paštą ir interneto resursus asmeniniais tikslais. Įmonė turi teisę neįspėjus
darbuotojo atidaryti šiam priskirtą darbinę elektroninio pašto dėžutę ir skaityti elektroninius laiškus
tada, jei yra pagrindo manyti, kad darbuotojo elektroninio pašto dėžutėje yra netinkamo, įstatymus ar
Bendrovės teisės interesus pažeidžiančio turinio informacija arba egzistuoja teisėta su darbo
santykiais susijusi priežastis atlikti šiuos veiksmus.
10. Bendrovės vadovas neužtikrina, kad bus išsaugotas privatumas to, ką Bendrovės darbuotojai
sukuria, siunčia ar gauna Bendrovės informacinėje sistemoje.
11. Jeigu Bendrovės darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į
tiesioginį arba Bendrovės vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia,
inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
17
IX SKYRIUS
ASMENS DUOMENŲ TVARKYMUI TAIKOMŲ SAUGUMO
PRIEMONIŲ SĄRAŠAS
Nr. Priemonės
1. nedarbo metu Bendrovės patalpos rakinamos
2. Bendrovės patalpose esantys kabinetai rakinami, raktus turi tik tame kabinete dirbantys
darbuotojai, apsauga ir Bendrovės administracija
3. įrengta patalpų signalizacijos sistema
4. prieiga prie duomenų suteikiama tik tam asmeniui, kuriam duomenys yra reikalingi jo
funkcijoms vykdyti (būtinumo žinoti principas)
5. vidinis tinklas apsaugotas ugnies sienomis
6. darbuotojų kompiuteriuose naudojami slaptažodžiai. Darbuotojas, dirbantis konkrečiu
kompiuteriu, gali žinoti tik savo slaptažodį, privalo saugoti suteiktą slaptažodį ir
neatskleisti jo tretiesiems asmenims. Slaptažodžiai esant būtinybei (pasikeitus
darbuotojui, iškilus įsilaužimo grėsmei ir pan.) turi būti keičiami periodiškai, ne rečiau
kaip kartą per tris mėnesius, o taip pat susidarius tam tikroms aplinkybėms (pvz.:
pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo
žinomas tretiesiems asmenims, ir pan.). Slaptažodžiai neturi sutapti su darbuotojo ar su
jo šeimos narių asmeniniais duomenimis
7. naudojama sertifikuota programinė įranga
8. programinė įranga atnaujinama, laikantis nustatytos tvarkos
9. kompiuteriuose įdiegtos antivirusinės programos, kurios nuolat atnaujinamos
10. IT sistemos turi nustatytą sesijos laiką, t. y. naudotojui esant neaktyviam, neveiksniam
sistemoje nustatytą laiką, jo sesija yra nutraukiama ne vėliau kaip po 15 minučių
neaktyvios sesijos
11. darbuotojams nesuteiktos teisės savavališkai keisti jam priskirtos kompiuterinės įrangos
(monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatų spausdinimo valdikliai,
klaviatūros, pelės, kolonėlės, ausinės, vaizdo kameros bei fotokameros, multimedijos
projektoriai ir pan.) ir įdiegtos programinės įrangos
12. nesant būtinybės, rinkmenos su fizinių asmenų duomenimis neturi būti dauginamos
skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose,
nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.
13. už Bendrovės duomenų bazėse ir IT sistemose esančių duomenų sunaikinimą atsakingi
šias sistemas administruojantys darbuotojai
14. už elektronine forma saugomų asmens duomenų rinkmenų sunaikinimą atsako konkrečiu
kompiuteriu, kuriame saugomos asmens duomenų rinkmenos, dirbantis darbuotojas
15. darbuotojai mokomi dirbti su programine įranga
16. ne rečiau kaip 1 (vieną) kartą per kalendorinius metus numatytas darbuotojų mokymas
duomenų saugos klausimais
17. daromos atsarginės duomenų kopijos
18. įranga prižiūrima pagal gamintojo rekomendacijas
19. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai
20. stebima duomenų perdavimo tinklo būklė
21. svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima
22. tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos
18
23. įrengta vandens nutekėjimo sistema
24. patalpose yra ugnies gesintuvų
25. pastato patalpose įrengti dūmų ir temperatūros jutikliai
26. parengtas veiklos atkūrimo planas
27. svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai
28. stebima elektros srovės tiekimo būklė
29. kabeliai yra izoliaciniuose vamzdžiuose
30. elektros ir duomenų kabeliai saugiai atskirti
19
X SKYRIUS
ASMENS DUOMENŲ TVARKYTOJAI IR GAVĖJAI
1. Tais atvejais, kai Įmonė įgalioja duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus,
tarp Bendrovės ir duomenų tvarkytojo turi būti sudaroma duomenų tvarkymo sutartis.
2. Sprendimą perduoti duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima
Bendrovės vadovas.
3. Įmonė parenka duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir
organizacinės duomenų apsaugos priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar
neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo,
įgyvendinant ir užtikrinant tokių priemonių laikymąsi.
4. Įmonė, sutartimi įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kad asmens
duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus,
Bendrovės nurodymus, taip pat nurodant, kokius asmens duomenų tvarkymo veiksmus privalo
atlikti duomenų tvarkytojas Bendrovės vardu, duomenų tvarkytojo įsipareigojimai Įmonei, įskaitant
įsipareigojimą laikytis ADTAĮ įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens
duomenų rūšis, duomenų subjektų kategorijos, duomenų tvarkytojo pareiga ištrinti arba grąžinti
Įmonei asmens duomenis, jų kopijas, pabaigus Įmonei teikti paslaugas.
5. Įmonė, sudarydama sutartį su duomenų tvarkytoju, be kita ko, nurodo, kad duomenų tvarkytojas
privalo užtikrinti Bendrovės perduodamų tvarkyti duomenų konfidencialumą, o ketindamas
tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), duomenų tvarkytojas privalo
gauti išankstinį rašytinį Bendrovės pritarimą.
6. Duomenų valdytojo tvarkomi duomenys duomenų gavėjams, kurie po duomenų perdavimo
asmens duomenis tvarko savarankiškais tikslais, o ne pagal duomenų valdytojo nurodymus, teikiami
tokią pareigą teikti duomenis numatant teisės aktui, esant duomenų subjekto sutikimui arba kitam
teisėto duomenų teikimo (tvarkymo) pagrindui.
7. Duomenų teikimas duomenų gavėjui turi būti būtinas pasiekti duomenų tvarkymo tikslui,
nustatytam prieš renkant duomenis, arba turi egzistuoti tinkamas teisinis pagrindas duomenis
tvarkyti ir teikti nauju tikslu.
8. Duomenų valdytojo įgaliotų duomenų tvarkytojų ir jų atliekamų funkcijų, taip pat duomenų
gavėjų sąrašas pateikiamas Tvarkymo veiklos įrašuose. Pasitelkus naują duomenų tvarkytoją ar
pradėjus teikti duomenis naujam duomenų gavėjui, Tvarkymo veiklos įrašas papildomas nauja
informacija. Atitinkamai, atsisakius duomenų tvarkytojo paslaugų ar pasikeitus duomenų gavėjui,
taip pat padaromi atitinkami pokyčiai Tvarkymo veiklos įrašuose.
20
XI SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
1. Duomenų subjektai turi
šias teises:
1.1. gauti informaciją apie asmens duomenų tvarkymą:
1.1.1. Informacija apie Bendrovės atliekamą duomenų subjektų
asmens duomenų tvarkymą, nurodyta BDAR 13 ir 14 str., duomenų
subjektui pateikiama žodžiu, raštu arba elektroninių ryšių priemonėmis
(duomenų subjekto kreipimosi į Įmonę būdu), taip pat skelbiama
Bendrovės interneto svetainės Privatumo politikoje ARBA skiltyje
„Asmens duomenų apsauga“.
1.1.2. Informacija apie duomenų subjektų asmens duomenų tvarkymą
pateikiama asmens duomenų gavimo metu.
1.1.3. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai
iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų
tvarkymą informuojama:
1.1.3.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne
vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens
duomenų tvarkymo aplinkybes;
1.1.3.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų
subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo
duomenų subjektu; arba
1.1.3.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų
gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
1.2. susipažinti su savo asmens duomenimis:
1.2.1. Įmonė, esant duomenų subjekto prašymui įgyvendinti teisę
susipažinti su savo asmens duomenimis, turi pateikti:
1.2.1.1. informaciją, ar duomenų subjekto asmens duomenys
tvarkomi;
1.2.1.2. su asmens duomenų tvarkymu susijusią informaciją,
numatytą BDAR 15 str. 1 ir 2 d., jeigu duomenų subjekto asmens
duomenys tvarkomi;
1.2.1.3. tvarkomų asmens duomenų kopiją.
1.2.2. tvarkomus duomenis duomenų subjektui teikti raštu ir
neatlygintinai. Tam tikrais atvejais (kai duomenų subjektas
akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai arba
neproporcingai, pakartotinai teikia prašymus dėl jų pasikartojančio
turinio pateikti informaciją, išrašus, dokumentus), toks informacijos
ir duomenų teikimas duomenų subjektui gali būti apmokestintas, t. y.
duomenų valdytojas gali imti pagrįstą mokestį, atsižvelgdamas į
informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma,
administracines išlaidas; arba gali atsisakyti imtis veiksmų pagal
prašymą. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas
yra akivaizdžiai nepagrįstas arba neproporcingas;
1.2.3. informaciją pateikti įprastai naudojama elektronine forma,
nebent prašoma informaciją pateikti kitaip.
1.3. reikalauti ištaisyti netikslius duomenis ar papildyti
neišsamius duomenis:
1.3.1. duomenų subjektas, vadovaudamasis BDAR 16 str., turi teisę
reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų
netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus,
kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę
reikalauti, kad būtų papildyti neišsamūs asmens duomenys
21
pateikdamas papildomą prašymą;
1.3.2. siekdama įsitikinti, kad tvarkomi duomenų subjekto asmens
duomenys yra tikslūs ar išsamūs, Įmonė gali duomenų subjekto
paprašyti pateikti tai patvirtinančius įrodymus.
1.3.3. kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens
duomenys, duomenų valdytojas praneša apie bet kokį asmens
duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to
padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų
pastangų. Duomenų subjektui paprašius, duomenų valdytojas
informuoja duomenų subjektą apie tuos duomenų gavėjus.
1.4. nesutikti, kad būtų tvarkomi jo asmens duomenys:
1.4.1. duomenų subjektas, vadovaudamasis BDAR 21 str., turi teisę
dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu
nesutikti, kad Įmonė tvarkytų jo asmens duomenis, išskyrus šiuos
atvejus:
1.4.1.1. tvarkyti asmens duomenis būtina siekiant atlikti užduotį,
vykdomą viešojo intereso labui arba vykdant duomenų valdytojui
pavestas viešosios valdžios funkcijas;
1.4.1.2. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo
arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų
subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina
užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai
duomenų subjektas yra vaikas.
1.4.2. Duomenų subjektui išreiškus nesutikimą dėl asmens duomenų
tvarkymo, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai
nusprendžiama, kad priežastys, dėl kurių tvarkomi asmens duomenys,
yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba
jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti
teisinius reikalavimus.
1.5. reikalauti ištrinti duomenis („Teisė būti pamirštam“):
1.5.1. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė
būti pamirštam“) įgyvendinama BDAR 17 str. numatytais atvejais.
1.5.2. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis
gali būti neįgyvendinta BDAR 17 str. 3 d. numatytais atvejais.
1.5.3. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal
duomenų subjekto prašymą) buvo perduoti duomenų gavėjams,
Įmonė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų
neįmanoma ar tam prireiktų neproporcingų pastangų. Duomenų
subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie
tokius duomenų gavėjus.
1.6. į duomenų perkeliamumą:
1.6.1. Įmonė įgyvendina duomenų subjekto teisę į duomenų
perkeliamumą BDAR 20 str. numatytomis sąlygomis.
1.6.2. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų
asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu
susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
1.6.3. Duomenų subjektas, kreipdamasis dėl teisės į duomenų
perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys
būtų persiųsti jam ar kitam duomenų valdytojui.
1.6.4. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys
nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja,
turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti
22
duomenis („teisės būti pamirštam“) įgyvendinimo.
1.7. apriboti asmens duomenų tvarkymą:
1.7.1. BDAR 18 str. 1 d. numatytais atvejais Įmonė privalo
įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų
tvarkymą.
1.7.2. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o
prieš tokio apribojimo panaikinimą duomenų subjektas raštu, žodžiu
arba elektroninių ryšių priemonėmis yra informuojamas.
1.7.3. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas
apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų
gavėjams, Įmonė šiuos duomenų gavėjus apie tai informuoja, nebent
tai būtų neįmanoma ar tam prireiktų pareikalautų neproporcingų
pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta
informacija apie tokius duomenų gavėjus.
1.8. reikalauti, kad nebūtų taikomas tik automatizuotu asmens
duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas:
1.8.1. Duomenų subjektas turi teisę reikalauti, kad jo atžvilgiu nebūtų
taikomas tik automatizuotu duomenų tvarkymu grindžiamas
sprendimas ir toks sprendimas būtų peržiūrėtas, vadovaujantis BDAR
22 str.
1.8.2. Duomenų subjektui kreipusis dėl automatizuotu asmens
duomenų tvarkymu grindžiamo sprendimo peržiūros, duomenų
valdytojas turi atlikti išsamų visų svarbių duomenų, įskaitant ir
duomenų subjekto pateiktos informacijos, vertinimą.
2. Įmonė imasi tinkamų priemonių, jog informacija susijusi su duomenų tvarkymu, duomenų
subjektui būtų pateikta glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta
kalba.
3. Duomenų subjektas dėl jo
teisių įgyvendinimo privalo
pateikti Įmonei rašytinį
prašymą, kuris turi būti:
3.1. įskaitomas, duomenų subjekto pasirašytas, naudojant laisvą
prašymo formą ir formatą arba naudojant rekomenduojamą
Bendrovės parengtą kreipimosi formą (Taisyklių priedas Nr. 2);
3.2. prašyme turi būti nurodyta: duomenų subjekto vardas, pavardė,
kiti požymiai, leidžiantys identifikuoti asmenį, kontaktiniai
duomenys ir informacija apie tai, kokią iš aukščiau nurodytų teisių ir
kokios apimties duomenų subjektas pageidauja įgyvendinti, bei
informacija, kokiu būdu pageidaujama gauti atsakymą.
4. Prašymą galima pateikti: 4.1. asmeniškai;
4.2. paštu ar per pasiuntinį;
4.3. per atstovą;
4.4. elektroninių ryšių priemonėmis.
5. Įmonė, duomenų subjekto prašymo, kuris pateiktas nesilaikant šiose Taisyklėse nustatytų
reikalavimų, nenagrinėja.
6. Pateikdamas prašymą,
duomenų subjektas privalo
patvirtinti savo tapatybę:
6.1. kai prašymas teikiamas tiesiogiai atvykus į Įmonę – pateikti
galiojantį asmens tapatybę patvirtinantį dokumentą;
6.2. kai prašymas siunčiamas paštu ar per pasiuntinį – pridėti notaro
ar kita Lietuvos Respublikos teisės aktų nustatyta tvarka patvirtintą
prašymą teikiančio asmens tapatybę patvirtinančio dokumento kopiją;
6.3. kai prašymas teikiamas per atstovą  pateikti Lietuvos
Respublikos teisės aktų nustatyta tvarka atstovavimą patvirtinantį
dokumentą ar įstatymų nustatyta tvarka patvirtintą atstovavimo
dokumento kopiją;
6.4. kai prašymas teikiamas elektroninių ryšių priemonėmis –
pasirašyti kvalifikuotu elektroniniu parašu.
23
7. Jei įmanoma, duomenų subjekto prašymu, informacija gali būti suteikta žodžiu, jeigu duomenų
subjekto tapatybe galima įsitikinti patikrinus duomenų subjekto nurodytą ir Bendrovės turimą
informaciją (pavyzdžiui: vardas, pavardė, telefono numeris, lojalumo kortelės numeris gali būti
pasakomi duomenų subjektui, jeigu duomenų subjektas prašo šią informaciją suteikti žodžiu,
kreipdamasis į Įmonę, ir jeigu yra techninė galimybė šią informaciją surinkti).
8. Visi prašymai, kuriuos Įmonė bet kokiomis ryšio priemonėmis gauna dėl duomenų subjektų teisių
įgyvendinimo turi būti perduoti ar persiųsti Pareigūnui. Visi Bendrovės darbuotojai, kurie prižiūri
įeinančią komunikaciją, privalo užtikrinti, kad gauti duomenų subjektų prašymai būtų atpažinti ir
perduoti Pareigūnui ir Bendrovės vadovo įgaliotam darbuotojui nedelsiant, ne vėliau kaip per 1
(vieną) darbo dieną
9. Duomenų subjektų teisių
įgyvendinimo tvarka:
9.1. Duomenų valdytojas privalo suteikti duomenų subjektui
informaciją:
9.1.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne
vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo
gavimo dienos, atsižvelgiant į konkrečias asmens duomenų tvarkymo
aplinkybes;
9.1.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų
subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo
duomenų subjektu;
9.1.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų
gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
9.2. Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo
atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo,
pateikia duomenų subjektui informaciją (atsakymą) apie veiksmus,
kurių imtasi gavus prašymą. Šis laikotarpis prireikus gali būti
pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą
ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo
gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu
pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą
pateikia elektroninės formos priemonėmis, informacija jam taip pat
pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus
atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
9.3. Jei duomenų valdytojas nesiima veiksmų pagal duomenų
subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau
kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų
subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą
Priežiūros institucijai bei pasinaudoti teisių gynimo priemone.
10. Gavus duomenų subjekto kreipimąsi dėl jo asmens duomenų neteisingumo, neišsamumo,
netikslumo Bendrovės atsakingas asmuo nedelsdamas patikrina asmens duomenis ir duomenų
subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, patikrinus
/ įsitikinus Duomenų subjekto tapatybę ir Asmens duomenis patvirtinančių dokumentų atitiktį /
atitiktimi teisės aktų reikalavimams, nedelsdamas privalo ištaisyti neteisingus, neišsamius, netikslius
Asmens duomenis arba sustabdo tokių duomenų tvarkymo veiksmus, išskyrus saugojimą.
11. Gavus duomenų subjekto kreipimąsi dėl jo duomenų tvarkymo neteisėtumo, nesąžiningumo
Bendrovės atsakingas asmuo nedelsdamas patikrina duomenų tvarkymo teisėtumą, nesąžiningumą
ir, gavus rašytinį prašymą, patikrinus / įsitikinus asmens dokumentų atitiktį / atitiktimi teisės aktų
reikalavimams, nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar
sustabdo tokių duomenų tvarkymo veiksmus, išskyrus saugojimą. Duomenų subjekto pateikta
informacija bei visi atlikti tolimesni veiksmai su šia informacija dokumentuojami „Neatitikčių
registravimo žurnale“ šių Taisyklių skyriuje „Neatitikčių, incidentų ir korekcinių veiksmų
valdymas“ nustatyta tvarka.
24
XII SKYRIUS
POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS (PDAV) IR
IŠANKSTINĖS KONSULTACIJOS SU PRIEŽIŪROS INSTITUCIJA
1. Poveikio duomenų apsaugai vertinimas (PDAV) – tai procesas, kurio metu vertinamas pavojus
fizinių asmenų teisėms ir laisvėms, vertinant netinkamo duomenų valdymo ir jų praradimo įvykio
tikimybę ir galimas pasekmes.
2. Pavojaus vertinimo tikslas yra nustatyti ir įvertinti esamą ar galimą pavojų, susijusį su vertinamu
procesu, jį pašalinti, o jei negalima pašalinti, taikyti prevencijos priemones, kad vertinamas procesas
būtų apsaugotas nuo pavojaus arba jis būtų kiek įmanoma sumažintas.
3. Įmonei pradėjus vykdyti
naują (-as) duomenų tvarkymo
operaciją (-as), yra privaloma
atlikti PDAV, jei duomenų
tvarkymas:
3.1. keltų didelį pavojų duomenų subjektų teisėms ir laisvėms
(pavyzdžiui, atvejai, kai duomenų subjektas neturi galimybės
nesutikti su duomenų tvarkymu, duomenys perduodami už ES
ribų, būtų pradėti tvarkyti duomenys, kurie gauti juos sujungus su
duomenimis iš kitų šaltinių, būtų tvarkomi jautrūs duomenys, tokie
kaip sveikata, būtų pradėti naudoti nauji technologiniai
sprendimai, pavyzdžiui, veido atpažinimo sistemos, ar kitų
biometrinių duomenų atpažinimo ir kt.);
3.2. automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas
profiliavimas ir priimami teisiniai ar kiti didelio poveikio
(pavyzdžiui, asmenų suskirstymas į grupes, kuris gali turėti jiems
įtakos) sprendimai;
3.3. būtų pradėtas vykdyti sistemingas vaizdo stebėjimas dideliu
mastu;
3.4. būtų pradėti tvarkyti specialių kategorijų asmens duomenys
dideliu mastu.
4. PDAV taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant Bendrovės
vadovo sprendimu tai atlikti.
5. PDAV atlieka Bendrovės vadovo įsakymu sudaroma darbo grupė iš Bendrovės darbuotojų arba
PDAV atlieka asmenys pagal paslaugų teikimo sutartį.
6. Bendrovės vadovo įsakymu sudaromai darbo grupei paskiriamas jos vadovas atlikti PDAV. Į jos
sudėtį gali būti įtrauktas ir Pareigūnas arba gali būti konsultuojamasi su Pareigūnu.
7. Darbo grupė PDAV metu pildo Priežiūros institucijos rekomenduojamą PDAV formą (toliau –
Forma).
8. Užpildyta ir pasirašyta Forma teikiama Bendrovės vadovui, kuris priima sprendimus dėl
tolimesnio asmens duomenų tvarkymo.
9. Kai iš PDAV paaiškėja, kad duomenų tvarkymo operacijos kelia didelį pavojų duomenų subjektų
teisėms ir laisvėms, o Įmonė negali jo sumažinti tinkamomis rizikos valdymo priemonėmis
(turimomis technologijomis ir įgyvendinimo sąnaudomis), prieš pradedant asmens duomenų
tvarkymą turi būti iš anksto konsultuojamasi su Priežiūros institucija.
10. Konsultavimasis su Priežiūros institucija atliekamas pagal Priežiūros institucijos nustatytą
procedūrą ir reikalavimus.
25
XIII SKYRIUS
NEATITIKČIŲ, INCIDENTŲ IR KOREKCINIŲ VEIKSMŲ
VALDYMAS
1. Neatitikčių identifikavimas: 1.1. Neatitiktys gali būti identifikuotos:
1.1.1. vykdant kasdieninę veiklą;
1.1.2. kontroliuojančių institucijų patikrinimo metu;
1.1.3. gavus informaciją iš asmens duomenų subjektų;
1.1.4. kitu būdu.
1.2. Neatitiktis gali nustatyti / informaciją apie neatitiktis gali
gauti bet kuris Bendrovės darbuotojas.
2. Neatitikties tipai: 2.1. Suinteresuotų šalių skundai dėl galimai netinkamai tvarkomų
asmens duomenų. Suinteresuotos šalys – tai visi duomenų
subjektai, kurių asmens duomenis Įmonė tvarko.
2.2. Neatitiktys susijusios su programine įranga ir jos gedimais.
2.3. Neatitiktys susijusios su technine įranga.
2.4. Informacijos saugumo įvykiai ir incidentai.
2.5. Kontroliuojančių institucijų radiniai – Priežiūros institucija,
priešgaisrinės saugos departamento ar kitų kontroliuojančių
institucijų pastebėti trūkumai.
2.6. Kita – aukščiau nepaminėtos neatitiktys susijusios su asmens
duomenų tvarkymu, kurias sąlygoja darbuotojų kompetencijos
stoka, ar kitos priežastys nepaminėtos Taisyklėse.
3. Neatitikčių valdymas 3.1. Informaciją apie neatitiktį gavęs ar neatitiktį pastebėjęs
darbuotojas nedelsdamas perduoda informaciją Bendrovės
vadovui, Pareigūnui arba Bendrovės vadovo įgaliotam
darbuotojui, kuris:
3.1.1. dokumentuoja identifikuotą neatitiktį „Neatitikčių
registravimo žurnale“ (Taisyklių priedas Nr. 3);
3.1.2. įvertina neatitikties įtaką Įmonei ir Bendrovės tvarkomų
asmens duomenų saugumui, jos sprendimo sudėtingumą;
3.1.3. paskiria atsakingus asmenis neatitikties priežasčiai bei
neatitikčių šalinimo veiksmas nustatyti ir įgyvendinti, kartu su
atsakingais asmenimis aptaria neatitikties šalinimo veiksmus bei
terminus, duoda atitinkamas instrukcijas paskirtiems darbuotojams
dėl jų pareigų, funkcijų atlikimo, susijusio su asmens duomenų
incidento valdymu.
3.2. Įgyvendinus suplanuotus veiksmus, Pareigūnas arba
Bendrovės vadovo įgaliotas darbuotojas patikrina atliktų veiksmų
rezultatyvumą. Tais atvejais kai atlikti veiksmai yra rezultatyvūs,
„Neatitikčių registravimo žurnale“ (Taisyklių priedas Nr. 3)
fiksuojamas neatitikties statusas „uždaryta“. Jeigu atlikti veiksmai
nėra rezultatyvūs, paskirti atsakingi darbuotojai toliau planuoja ir
įgyvendina neatitikčių šalinimo veiksmus, iki jie bus rezultatyvūs.
3.3. Apie visus įgyvendintus neatitikčių valdymo veiksmus ir jų
rezultatyvumą Pareigūnas arba Bendrovės vadovo įgaliotas
darbuotojas informuoja Bendrovės vadovą.
3.4. Pareigūnas arba Bendrovės vadovo įgaliotas darbuotojas,
tvarkantis asmens duomenis kartu su nustatytos neatitikties
šalinime dalyvavusiais darbuotojais parengia planą su
prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti
26
kelią pasikartoti analogiškam ar panašiam incidentui ir pateikia jį
Bendrovės vadovui, kuris toliau priima sprendimą dėl numatytų
priemonių įgyvendinimo.
4. Jei dėl įvykdyto asmens duomenų incidento kyla pavojus duomenų subjektų teisėms ir laisvėms,
Pareigūnas ar kitas Bendrovės vadovo paskirtas darbuotojas privalo nedelsiant, bet ne vėliau nei
kaip per 72 val. pranešti VDAI apie įvykusį incidentą. Kilus ypatingai dideliam pavojui duomenų
subjektų teisėms ir laisvėms, informacija apie įvykusį incidentą nedelsiant taip pat turi būti pateikta
duomenų subjektams. Nesant galimybės informuoti visus duomenų subjektus dėl jų didelio kiekio ar
kitų priežasčių, Pareigūnas ar kitas Bendrovės vadovo paskirtas darbuotojas kartu su Bendrovės
vadovu apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo kanalus
(spauda, televizija, kt.).
5. Teikiant pranešimą dėl įvykusio asmens duomenų incidento, VDAI, duomenų subjektams privalo
būti trumpai aprašytas asmens duomenų incidento pobūdis, nurodant apytikslį duomenų subjektų
skaičių, kurių asmens teisės ir laisvės galėjo būti pažeistos, Pareigūno arba Bendrovės vadovo
įgalioto darbuotojo kontaktai, trumpai aprašytos tikėtinos incidento pasekmės bei priemonės, kurių
Įmonė imasi / imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu incidentu.
6. Nustatant, ar būtina vykdyti
informavimo pareigą,
Pareigūnas ar kitas Bendrovės
vadovo įgaliotas darbuotojas
privalo įvertinti, ar dėl
įvykusio incidento:
6.1. įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti
duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant
prieigą, tinkamai nešifruojant, kt.);
6.2. įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui,
prarasti duomenys ir neturima atsarginių kopijų);
6.3. įvyko duomenų vientisumo pažeidimas (pavyzdžiui, prarasti
klientų duomenys, turima tik dalis atsarginių kopijų, dėl ko
neįmanoma „atkurti“ visos su klientu bendravimo istorijos).
7. Informavimas gali vykti ir esant kitiems pagrindams, jei tokius nustato Įmonė ir / ar Pareigūnas.
8. Pareigūnas ar kitas Bendrovės vadovo įgaliotas darbuotojas privalo užtikrinti, kad visos
neatitiktys, įskaitant ir asmens duomenų apsaugos incidentus būtų tinkamai dokumentuotos ir
saugomos.
27
XIV SKYRIUS
ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS
1. Bendrovės vadovo įsakymu, Pareigūnas gali būti paskirtas iš esamų Bendrovės darbuotojų, naujas
darbuotojas arba asmuo, su kuriuo būtų sudaroma paslaugų teikimo sutartis.
2. Bendrovės vadovas paskyręs arba sudaręs su Pareigūnu paslaugų teikimo sutartį, privalo
užtikrinti, kad Pareigūno kontaktiniai duomenys per protingą terminą nuo jo paskyrimo / paslaugų
sutarties sudarymo būtų tinkamai paskelbti duomenų subjektams bei pranešti VDAI.
3. Skirdamas Pareigūną,
Bendrovės vadovas privalo
įvertinti ir įgyvendinti tai, kad:
3.1. Pareigūnas turėtų tinkamų asmens duomenų teisinės apsaugos
praktinių ir ekspertinių žinių;
3.2. Pareigūnas būtų įtraukiamas į visų su asmens duomenų
apsauga ir privatumu susijusių klausimų nagrinėjimą Bendrovės;
3.3. Pareigūnas būtų tiesiogiai pavaldus Bendrovės vadovui;
3.4. Pareigūnas neturėtų jokių kitų pareigų, neatliktų funkcijų,
kurios galėtų sukelti interesų konfliktą su jo atliekamomis
Pareigūno funkcijomis.
4. Pareigūnas privalo: 4.1. užtikrinti, kad Bendrovės vykdomas asmens duomenų
tvarkymas atitiktų BDAR, kitų, asmens duomenų teisinę apsaugą
reglamentuojančių teisės aktų reikalavimus, tinkamai įvertinant
duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį,
aprėptį, kontekstą, tikslus, potencialų pavojų;
4.2. stebėti, kaip laikomasi BDAR, kitų, asmens duomenų teisinę
apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių,
kitų vidinių dokumentų, susijusių su asmens duomenų apsauga;
4.3. konsultuoti ir stebėti, kaip Bendrovės atliekamas poveikio
duomenų apsaugai vertinimas;
4.4. informuoti Bendrovės vadovą ir kitus darbuotojus apie jų
pareigas pagal BDAR ir kitus, asmens duomenų teisinę apsaugą
reglamentuojančius, teisės aktus ir juos konsultuoti dėl konkrečių
pareigų vykdymo;
4.5. informuoti Bendrovės vadovą apie bet kokius neatitikimus,
pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas
nustato, vykdydamas savo funkcijas;
4.6. mokyti Bendrovės darbuotojus, dirbančius su asmens
duomenimis, asmens duomenų teisinės apsaugos klausimais;
4.7. bendradarbiauti, būti kontaktiniu asmeniu santykiuose su
VDAI.
5. Pareigūnas savo pareigas ir užduotis atlieka nepriklausomai. Bendrovės vadovas, ir jokie kiti
Bendrovės darbuotojai Pareigūnui negali teikti jokių nurodymų dėl jo užduočių vykdymo.
6. Pareigūnas turi teisę naudotis Bendrovės teisės, personalo, informacinių technologijų, kitų
padalinių pagalba, prašyti ir gauti iš jų informaciją, reikalingą jo funkcijoms vykdyti.
28
XV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
1. Darbuotojai su Taisyklėmis bei jos pakeitimais supažindinami pasirašytinai ir privalo laikytis
jose nustatytų įpareigojimų bei atlikdami savo darbo funkcijas vadovautis Taisyklėse nustatytais
principais. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo
darbo dieną.
2. Šiose Taisyklėse esančios nuostatos gali būti papildomos ar išsamiau įtvirtinamos kituose
Bendrovės veiklą reguliuojančiuose vidaus dokumentuose. Rengiant vidaus dokumentus, visais
atvejais turi būti vadovaujamasi Taisyklėmis. Jeigu duomenų apsaugos klausimais yra
prieštaravimų tarp Taisyklių ir kitų Bendrovės vidaus dokumentų, turi būti vadovaujamasi
Taisyklių nuostatomis. Tuo atveju, jeigu klausimai, susiję su asmens duomenų apsauga nėra
reglamentuoti Taisyklėse, turi būti taikomi kiti Bendrovės vidaus dokumentai.
3. Bendrovės darbuotojai, pažeidę Taisykles, ADTAĮ ir (ar) BDAR, atsako teisės aktų nustatyta
tvarka.
4. Pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, Taisyklės yra
peržiūrimos ir atnaujinamos.
5. Taisyklių priedai, jeigu tokių yra, tampa neatsiejama šių Taisyklių dalimi.
_______________
29