UAB „Orion Leasing“

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

BENDROSIOS NUOSTATOS IR SĄVOKOS

1.1

UAB Orion Leasing („Bendrovė“) asmens duomenų tvarkymo taisyklės(„Taisyklės“) nustato reikalavimus asmens duomenų (kaip jie yra apibrėžti šiose Taisyklėse) tvarkymui Bendrovėje (įskaitant klientų, darbuotojų, tiekėjų ir partnerių asmens duomenų tvarkymą), taip pat Bendrovės įgyvendinamas technines ir organizacines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

1.2

Taisyklės parengtos vadovaujantis 2018 m. gegužės 25 d. įsigaliojusiu ES Bendruoju duomenų apsaugos reglamentu (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinta Direktyva 95/46/EB) („Reglamentas“), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu („Įstatymas“) ir kitais teisės aktais, reguliuojančiais asmens duomenų apsaugą ir tvarkymą.

1.3

Šiose Taisyklėse ir jų prieduose didžiąja raide rašomos sąvokos turi reikšmes, nurodytas žemiau:

Asmens duomenys (Duomenys)

reiškia bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti; fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma, pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės socialinės tapatybės ar kitus požymius;

Asmens duomenų saugumo pažeidimas

reiškia saugumo pažeidimą, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti saugomi arba kitaip tvarkomi Asmens duomenys arba prie jų be leidimo gaunama prieiga;

Atsakingas darbuotojas

reiškia Bendrovės vadovo paskirtą už Asmens duomenų apsaugą atsakingą Bendrovės Darbuotoją, užtikrinantį: (i) Reglamento įgyvendinimą, kaip tai yra numatyta šiose Taisyklėse, bei (ii) Duomenų saugumo ir rizikų valdymą, atsižvelgiant į šias Taisykles. Paskyrus Duomenų apsaugos pareigūną, jis taip pat yra laikomas ir Atsakingu darbuotoju;

Atsakingas darbuotojas

Bendrovė

turi reikšmę, nurodytą šių Taisyklių 1.1 punkte;

Darbuotojas

reiškią fizinį asmenį, kuris su Bendrove yra sudaręs darbo ar kitą panašaus pobūdžio sutartį;

Duomenų apsaugos pareigūnas

reiškia Bendrovės Darbuotoją ar kitą asmenį, teikiantį paslaugas pagal paslaugų teikimo sutartį, paskirtą stebėti ir prižiūrėti Reglamento įgyvendinimą Bendrovėje;

Duomenų subjektas

reiškia gyvą fizinį asmenį, kurio Asmens duomenis tvarko Bendrovė;

Duomenų subjekto sutikimas

reiškia bet kokį laisva valia duotą, konkretų ir nedviprasmišką tinkamai informuoto Duomenų subjekto valios išreiškimą pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję Duomenys;

Duomenų tvarkymas

reiškia bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su Asmens duomenimis ar Asmens duomenų rinkiniais atliekamą operaciją ar operacijų seką, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

Duomenų tvarkytojas

reiškia fizinį arba juridinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuri Duomenų valdytojo vardu tvarko Asmens duomenis;

Duomenų valdytojas

reiškia fizinį arba juridinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuri viena ar drauge su kitais nustato Asmens duomenų tvarkymo tikslus ir priemones;

Įstatymas

turi reikšmę, nurodytą šių Taisyklių 1.2 punkte;

Priežiūros institucija

reiškia Valstybinę duomenų apsaugos inspekciją arba kitą priežiūros instituciją, atsakingą už Duomenų apsaugą reglamentuojančių teisės aktų įgyvendinimo priežiūrą;

Profiliavimas

reiškia bet kokios formos automatizuotą Asmens duomenų tvarkymą, kai Asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma, siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu. Ši sąvoka yra susijusi su Duomenų subjekto teise nesutikti su Profiliavimu bei teise būti informuotam apie Profiliavimo taikymą, tokio tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui;

Reglamentas

turi reikšmę, nurodytą šių Taisyklių 1.2 punkte;

Specialių kategorijų asmens duomenys

reiškia Asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetinius duomenis, biometrinius duomenis, kai jie yra tvarkomi siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją;

Taisyklės

turi reikšmę, nurodytą šių Taisyklių 1.1 punkte;

Trečioji šalis

reiškia fizinį arba juridinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuri nėra Duomenų subjektas, Duomenų valdytojas, Duomenų tvarkytojas arba asmuo, kuriam tiesioginiu Duomenų valdytojo ar Duomenų tvarkytojo įgaliojimu leidžiama tvarkyti Asmens duomenis.

1.4

Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Reglamente, Įstatyme ir kituose teisės aktuose.

ATSAKOMYBĖS PAGAL REGLAMENTĄ

2.1

Reglamento prasme Bendrovė yra laikoma Duomenų valdytoju. Atskirais Duomenų tvarkymo atvejais Bendrovė gali veikti ir kaip Duomenų tvarkytojas.

2.2

Bendrovės vadovybė, įskaitant visus asmenis, atliekančius vadovavimo ir (arba) priežiūros funkcijas, yra atsakinga už gerųjų informacijos valdymo praktikų skatinimą ir vystymą Bendrovėje bei sprendimų, susijusių su tinkamu Reglamento įgyvendinimu, priėmimą.

2.3

Tinkamą Reglamento įgyvendinimą Bendrovėje prižiūri ir stebi Atsakingas darbuotojas.

2.4

Už atitiktį Duomenų apsaugos teisės aktams yra atsakingi visi Bendrovės Darbuotojai, tvarkantys Asmens duomenis pagal jiems priskirtą kompetenciją. Pareiga saugoti Asmens duomenų slaptumą išlieka ir pasibaigus darbo santykiams su Bendrove.

2.5

Nurodyta atsakomybė apima:

Reglamento įgyvendinimą, kaip tai yra numatyta šiose Taisyklėse;
Duomenų saugumo užtikrinimą ir rizikų valdymą, atsižvelgiant į šias Taisykles.

2.6

Darbuotojai privalo nedelsdami pranešti Atsakingam darbuotojui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Duomenų saugumui.

2.7

Darbuotojai privalo užtikrinti, kad visi jų Asmens duomenys, kuriuos jie pateikia Bendrovei, būtų tikslūs ir aktualūs.

2.8

Darbuotojui pažeidus Reglamento, Įstatymo ar kito asmens duomenų apsaugą reglamentuojančio teisės akto reikalavimus, jam taikoma atsakomybė Lietuvos Respublikos teisės aktų nustatyta tvarka.

2.9

Esant poreikiui, Bendrovė organizuoja Darbuotojų mokymus asmens duomenų apsaugos klausimais, kurie padėtų Darbuotojams vykdyti savo darbo funkcijas vadovaujantis Reglamentu, Įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.

DUOMENŲ APSAUGOS PAREIGŪNAS

3.1

Nustačius tokį poreikį, Bendrovėje yra paskiriamas Duomenų apsaugos pareigūnas, kuriuo gali būti Bendrovės Darbuotojas arba asmuo, teikiantis Duomenų apsaugos pareigūno paslaugas pagal paslaugų teikimo sutartį. Paskyrus Duomenų apsaugos pareigūną, jis taip pat yra laikomas ir Atsakingu darbuotoju.

3.2

Bendrovė skiria Duomenų apsaugos pareigūną atsižvelgdama į jo turimas Duomenų apsaugos teisės ir praktikos ekspertines žinias, profesines savybes, gebėjimus atlikti Duomenų apsaugos pareigūnui priskirtas funkcijas.

3.3

Bendrovė užtikrina Duomenų apsaugos pareigūno garantijas, įtvirtintas Reglamente.

3.4

Duomenų apsaugos pareigūnas vykdo Reglamente bei šiose Taisyklėse nurodytas užduotis ir yra tiesiogiai atskaitingas Bendrovės vadovui.

3.5

Duomenų apsaugos pareigūno funkcijoms atlikti ir bendrauti su šiuo asmeniu sukuriama elektroninio pašto dėžutė, kurios adresas viešai skelbiamas Bendrovės interneto svetainėje.

3.6

Bendrovė apie Duomenų apsaugos pareigūno paskyrimą praneša Priežiūros institucijai.

3.7

Bendrovės Darbuotojai, tvarkantys Asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam Asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam Duomenų tvarkymui, privalo konsultuotis su Duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:

prieš keičiant esamus ar pradedant naujus Asmens duomenų tvarkymo procesus;
tobulinant esamas ar diegiant naujas su Asmens duomenų tvarkymu susijusias sistemas ar programas;
atliekant poveikio duomenų apsaugai vertinimą;
rengiant su Asmens duomenų tvarkymu susijusius vidaus teisės aktus;
rengiant naujas ar keičiant esamas Asmens duomenų teikimo, Asmens duomenų tvarkymo sutartis;
sprendžiant dėl Asmens duomenų teikimo Trečiosioms šalims, jeigu toks teikimas nėra numatytas Asmens duomenų teikimo sutartyje ir nėra reglamentuotas teisės aktuose.

DUOMENŲ TVARKYMO PRINCIPAI

Duomenys Bendrovėje tvarkomi vadovaujantis Reglamento 5 straipsnyje įtvirtintais Duomenų tvarkymo principais. Bendrovės vidaus tvarkos ir procesai yra rengiami bei vykdomi taip, kad būtų užtikrinta atitiktis šiems principams.

Duomenys turi būti tvarkomi teisėtai, sąžiningai ir skaidriai

4.1

Teisėtumas reiškia, kad prieš pradedant tvarkyti Asmens duomenis visais atvejais turi būti nustatytas Duomenų tvarkymo teisinis pagrindas.

4.2

Sąžiningumas reiškia, kad Duomenų valdytojas turi pateikti aktualią informaciją Duomenų subjektams apie jų Duomenų tvarkymą. Ši pareiga yra taikoma tiek tais atvejais, kai Duomenys yra gaunami tiesiogiai iš Duomenų subjekto, tiek ir tada, kai Duomenys yra gaunami iš kitų šaltinių.

4.3

Skaidrumas reiškia, kad Duomenų subjektams turi būti pateikta išsami informacija apie jų Duomenų tvarkymą. Konkreti informacija, kuri privalo būti pateikta yra numatyta Reglamento 12- 14 straipsniuose. Informacija pateikiama suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

Duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais

4.4

Duomenys surinkti pirminiais tikslais toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis Duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais.

Duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų

4.5

Bendrovė užtikrina, kad netvarkys Duomenų, kurie nėra reikalingi tiems tikslams, kuriems Duomenys buvo renkami, pasiekti.

4.6

Visose Duomenų rinkimo formose (tiek elektroninėse, tiek materialiose) privalo būti pateikta ir informacija apie sąžiningą Duomenų tvarkymą arba nukreipiama į privatumo pranešimą. Formos turi būti suderintos su Atsakingu darbuotoju.

4.7

Atsakingas darbuotojas reguliariai peržiūri Duomenų rinkimo procedūras, kad būtų užtikrinta, jog šios procedūros ir toliau yra adekvačios, tinkamos ir nėra perteklinės.

Duomenys turi būti tikslūs ir aktualūs

4.8

Turi būti imamasi visų pagrįstų priemonių užtikrinti, kad Asmens duomenys, kurie, atsižvelgiant į jų tvarkymo tikslus, nėra tikslūs ar teisingi, būtų nedelsiant ištrinti arba ištaisyti.

4.9

Atsakingas darbuotojas turi užtikrinti, kad visi Darbuotojai būtų tinkamai apmokyti ir suvoktų tikslių Duomenų rinkimo bei tokio tikslumo išsaugojimo svarbą.

4.10

Duomenų subjektas taip pat yra atsakingas už savo Duomenų, perduotų Bendrovei, tikslumo išsaugojimą.

4.11

Atsakingas darbuotojas reguliariai peržiūri tvarkomų Duomenų saugojimo terminus ir nustato, kurie Duomenys nebėra reikalingi tiems tikslams, kuriems tokie Duomenys buvo surinkti. Tokie Duomenys yra saugiai ištrinami (sunaikinami).

4.12

Atsakingas darbuotojas ar kitas įgaliotas asmuo privalo ne vėliau kaip per 1 (vieną) mėnesį atsakyti į Duomenų subjektų prašymus dėl jų Duomenų ištaisymo. Sudėtingų užklausų atveju šis laikotarpis gali būti pratęstas dar 2 (dviem) mėnesiams. Bendrovei atsisakius ištaisyti Asmens duomenis, Atsakingas darbuotojas ar kitas įgaliotas asmuo privalo informuoti Duomenų subjektą apie tokio atsisakymo priežastis ir apie galimybę pateikti skundą Priežiūros institucijai.

Duomenys turi būti saugomi tokia forma, kad Duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina

4.13

Kai Asmens duomenys yra saugomi po jų aktyvaus tvarkymo pabaigos, Bendrovė įgyvendina atitinkamas technines ir organizacines priemones (įskaitant, priklausomai nuo atvejo, duomenų kiekio mažinimą, šifravimą ir (arba) pseudonimų suteikimą), kurių pagalba Duomenų saugumo pažeidimo atveju apsaugoma Duomenų subjekto tapatybė.

4.14

Asmens duomenys bus saugomi ne ilgiau nei numatyta Duomenų tvarkymo veiklos įrašuose ir tai bus būtina tiems tikslams, kuriems tokie Duomenys yra tvarkomi, pasiekti.

Duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Duomenų saugumas

4.15

Esant poreikiui (įskaitant atvejus, kai pasikeičia tvarkomų Duomenų apimtis ar tvarkymo pobūdis), Atsakingas darbuotojas atlieka rizikos vertinimą, atsižvelgdamas į visas Bendrovės vykdomas Duomenų valdymo ir tvarkymo operacijas.

4.16

Duomenų saugumo priemonės Bendrovėje įgyvendinamos atsižvelgiant į tvarkomų Duomenų pobūdį ir jų tvarkymo keliamą riziką, galimos žalos, kurią patirtų asmenys (pavyzdžiui, Darbuotojai, klientai) Duomenų saugumo pažeidimo atveju, dydį, taip pat į tai, kokią įtaką Asmens duomenų saugumo pažeidimas turėtų pačiai Bendrovei, įskaitant galimą žalą reputacijai.

4.17

Nustatant tinkamas technines saugumo priemones, be kita ko, vertinama ir esant poreikiui įgyvendinama:

slaptažodžių apsauga;
automatinis neaktyvių langų užrakinimas;
antivirusinės programos bei ugniasienių poreikis;
skirtingų prieigos teisių suteikimas, atsižvelgiant į atitinkamo asmens vykdomas funkcijas (angl. role-based access);
vietinių ir plačiųjų tinklų apsauga;
duomenų apsaugą stiprinančių priemonių (tokių kaip pseudonimų suteikimas bei

4.18

Nustatant tinkamas organizacines saugumo priemones, be kita ko, atsižvelgiama į (ir esant poreikiui įgyvendinama):

Bendrovės Darbuotojų apmokymo lygį;
priemones, kuriomis vertinamas Darbuotojų patikimumas;
Duomenų apsaugos nuostatų įtvirtinimą sutartyse su Darbuotojais;
drausminių priemonių, taikomų už Duomenų apsaugos reikalavimų pažeidimus, nustatymą;
Darbuotojų veiklos atitikties aktualiems saugumo standartams stebėseną;
fizinės prieigos prie elektroninių ir materialių įrašų ribojimą;
„švaraus stalo“ taisyklės įgyvendinimą darbo vietose;
popierine forma saugomų Duomenų laikymą gaisrui atspariose, rakinamose saugyklose;
Darbuotojų asmeninės įrangos naudojimo darbo vietoje ribojimą;
aiškių taisyklių, susijusių su slaptažodžių naudojimu, priėmimą;
reguliarų Duomenų atsarginių kopijų darymą bei jų saugojimą kitoje vietoje;
sutartinių įsipareigojimų Duomenų tvarkytojams, tvarkantiems Duomenis Bendrovės vardu, taikymą.

4.19

Bendrovės įgyvendinamos techninės ir organizacinės saugumo priemonės taip pat yra nustatytos bei aprašytos kituose Bendrovės vidaus dokumentuose ir procedūrose, įskaitant Informacijos saugos politiką (angl. Information Security Policy).

Duomenų valdytojas turi galėti įrodyti, kad yra laikomasi Reglamento principų (atskaitomybė)

4.20

Duomenų tvarkymo atitiktį duomenų apsaugos principams Bendrovė gali įrodyti remdamasi: patvirtintomis Asmens duomenų tvarkymo taisyklėmis, duomenų saugai skirtomis vidaus dokumentų nuostatomis, įgyvendintomis techninėmis ir organizacinėmis saugumo priemonėmis, taip pat kitomis Bendrovės įgyvendintomis priemonėmis (tokiomis kaip pritaikytoji duomenų apsauga, poveikio duomenų apsaugai vertinimas, pranešimo apie Duomenų saugumo pažeidimus procedūros ir kt.).

DUOMENŲ SUBJEKTŲ TEISĖS

5.1

Duomenų subjektai turi žemiau nurodytas teises, susijusias su jų Duomenų tvarkymu:

teisę kreiptis į Bendrovę dėl susipažinimo su Bendrovės tvarkomais jų Duomenimis;
teisę nesutikti su Duomenų tvarkymu (įskaitant Profiliavimą), kai Duomenys tvarkomi siekiant įgyvendinti Bendrovės teisėtus interesus;
teisę nesutikti su Duomenų tvarkymu (įskaitant Profiliavimą) tiesioginės rinkodaros tikslais;
teisę būti informuotiems apie automatizuoto sprendimų priėmimo loginį pagrindimą, reikšmę ir numatomas pasekmes, kai toks sprendimų priėmimas turės jiems didelį poveikį ar galės sukelti teisines pasekmes;
teisę reikalauti, kad didelį poveikį jiems darantys sprendimai nebūtų priimami išimtinai automatizuotomis priemonėmis;
teisę kreiptis į teismą dėl kompensacijos Reglamento pažeidimo atveju;
teisę reikalauti ištaisyti, ištrinti Duomenis arba apriboti jų tvarkymą;
teisę pateikti skundą Priežiūros institucijai;
teisę gauti su Duomenų subjektu susijusius Asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu bei teisę persiųsti tuos Duomenis kitam Duomenų valdytojui;
teisę atšaukti savo sutikimą.

5.1

Bendrovė užtikrina šių teisių įgyvendinimą Duomenų subjektų prašymų vykdymo ir skundų nagrinėjimo procedūroje (kuri pridedama kaip priedas prie šių Taisyklių) numatyta tvarka.

DUOMENŲ SUBJEKTO SUTIKIMAS

6.1

Bendrovė „sutikimu“ laiko tik laisva valia duotą, konkretų, informuotą ir nedviprasmišką Duomenų subjekto valios išreiškimą pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję Asmens duomenys. Duomenų subjektas turi teisę atšaukti savo sutikimą bet kuriuo metu.

6.2

Sutikimu negali būti laikomas Duomenų subjekto neveikimas (įskaitant atsakymo į užklausą nepateikimą, neprieštaravimą iš anksto pažymėtiems langeliams (pasirinkimams) ir pan.). Bendrovė turi galėti įrodyti, kad sutikimas dėl Duomenų tvarkymo buvo gautas.

6.3

Prašymą duoti sutikimą Bendrovė pateikia atskirai nuo kitų sąlygų. Sutikimo davimas negali būti paslaugų teikimo sąlyga.

6.4

Specialių kategorijų asmens duomenų tvarkymui turi būti gautas aiškus Duomenų subjekto sutikimas. Šis reikalavimas netaikomas, kai tokie Duomenys tvarkomi kitais teisėtais pagrindais.

6.5

Duomenų subjektų sutikimus dėl jų Duomenų tvarkymo Bendrovė įprastai gauna naudodama standartines sutikimo formas (pavyzdžiui, tiesioginei rinkodarai skirtus langelius (pasirinkimus)).

Sutikimo gavimo procedūra

6.6

Tam, kad būtų laikomasi sutikimo gavimui keliamų reikalavimų, Bendrovė:

bet kuriuo atveju, prieš Duomenų subjektui duodant sutikimą, pateikia Duomenų subjektui susipažinti privatumo pranešimą, kuris padeda užtikrinti, kad būtų tinkamai įvykdyta informavimo pareiga ir Duomenų subjektas būtų informuotas apie jo turimas teises, susijusias su Duomenų tvarkymu;
gali įrodyti, kad buvo gautas Duomenų subjekto sutikimas tvarkyti jo Asmens duomenis vienu ar daugiau tikslų;
Specialių kategorijų asmens duomenų tvarkymo atveju gali įrodyti, kad buvo gautas aiškus Duomenų subjekto sutikimas;
gali įrodyti, kad prašymas duoti sutikimą Duomenų subjektui buvo pateiktas atskirai nuo kitų sąlygų;
gali įrodyti, kad Duomenų subjektas prieš duodamas sutikimą buvo informuotas apie teisę jį atšaukti;
gali pademonstruoti, kad Duomenų subjekto Duomenų tvarkymas apsiriboja tuo, kas yra numatyta Duomenų subjekto sutikime.

Sutikimo atšaukimo procedūra

6.7

Sutikimo atšaukimas reiškia nedviprasmišką Duomenų subjekto valios išraišką (pareiškimu ar aktyviu veiksmu), kuria Duomenų subjektas išreiškia pageidavimą atšaukti savo sutikimą, suteiktą Bendrovei dėl jo Duomenų tvarkymo.

6.8

Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto Duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui bei Duomenų tvarkymui, grindžiamam kitais Duomenų tvarkymo teisiniais pagrindais. Tuo atveju, kai sutikimas yra duotas visiems Duomenų tvarkymo veiksmams konkrečiu tikslu, jo atšaukimas yra laikomas sutikimo atšaukimu visiems šiems Duomenų tvarkymo veiksmams.

6.9

Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti.

6.10

Tam, kad būtų laikomasi sutikimo atšaukimui keliamų reikalavimų, Bendrovė:

dokumentuoja faktą, jog Duomenų subjektas atšaukė duotą sutikimą;
kai Duomenys buvo tvarkomi skirtingais tikslais, gali įrodyti, kad Duomenų subjektas atšaukė sutikimą kiekvienam iš tikslų, kuriems buvo duoti atskiri sutikimai;
sustabdo tuos Duomenų tvarkymo veiksmus, kurie buvo atliekami Duomenų subjekto sutikimo pagrindu.

DUOMENŲ SAUGUMAS

7.1

Bendrovėje įgyvendinamos techninės ir organizacinės priemonės užtikrina tokį Duomenų saugumo lygį, kuris atitinka Bendrovės valdomų bei tvarkomų Duomenų pobūdį ir jų tvarkymo keliamą riziką.

7.2

Visi Darbuotojai turi užtikrinti, kad bet kokie Bendrovės tvarkomi Duomenys, už kuriuos tokie Darbuotojai yra atsakingi, būtų patikimai saugomi ir bet kokiu atveju nebūtų prieinami Trečiosioms šalims, išskyrus, kai tokios Trečiosios šalys yra įgaliotos gauti informaciją ir yra įsipareigojusios saugoti jos konfidencialumą.

7.3

Bet kokie Asmens duomenys bus prieinami tik tiems asmenims (Darbuotojams, Duomenų tvarkytojams), kuriems jie yra būtini, o prieiga prie jų suteikiama vadovaujantis Bendrovės vidaus procedūromis ir tvarkomis. Visiems Asmens duomenims bus taikomos rinkos standartus atitinkančios saugumo priemonės ir jie bus laikomi:

rakinamose patalpose su kontroliuojama prieiga; ir (arba)
rakinamose saugyklose (spintose, stalčiuose); ir (arba)
elektroninės formos Duomenų atveju, apsaugoti gerąsias Duomenų saugumo praktikas atitinkančiais slaptažodžiais.

7.4

Bendrovė imasi priemonių užtikrinti, kad Bendrovės Darbuotojų kompiuterių ekranai būtų matomi tik įgaliotiems Darbuotojams. Prieš pradėdami naudotis kompiuteriais, Darbuotojai privalo susipažinti su Bendrovės vidaus procedūromis, reglamentuojančiomis informacijos saugą.

7.5

Materialia forma saugomi Duomenys negali būti paliekami be priežiūros ten, kur juos galėtų pasiekti Darbuotojai ar kiti asmenys, neturintys prieigos prie jų teisių. Nesant aiškaus įgaliojimo, materialia forma saugomi Duomenys gali būti laikomi tik Bendrovės patalpose. Tokiems Duomenims tapus nebereikalingais kasdienėje Bendrovės veikloje, jie turi būti archyvuojami.

7.6

Nereikalingais tapę Asmens duomenys (kurių nereikia saugoti) yra ištrinami ar kitaip sunaikinami vadovaujantis gerosiomis saugaus Duomenų sunaikinimo praktikomis.

7.7

Duomenų tvarkymas ne Bendrovės patalpose yra neišvengiamai susijęs su didesne Duomenų vagystės, kitokio praradimo ar sugadinimo rizika. Atsižvelgiant į tai, Darbuotojai turi gauti atskirą įgaliojimą tvarkyti Asmens duomenis ne Bendrovės patalpose.

7.8

Konkrečios Bendrovės įgyvendinamos Asmens duomenų saugumo užtikrinimo priemonės yra išdėstytos Informacijos saugos politikoje (angl. Information Security Policy) ir kituose Bendrovės vidaus dokumentuose.

DUOMENŲ TVARKYTOJŲ PASITELKIMAS

8.1

Bendrovė sudaro sutartis tik su tokiais paslaugų teikėjais (Duomenų tvarkytojais), kurie gali užtikrinti pakankamų techninių, fizinių ir organizacinių saugumo priemonių, atitinkančių Bendrovės reikalavimus, įgyvendinimą visų Bendrovės perduodamų (atskleidžiamų) Asmens duomenų atžvilgiu.

8.2

Visos Bendrovės sudarytos sutartys reguliariai peržiūrimos, kad būtų nustatytos tos sutartys, kurių kontekste yra tvarkomi Asmens duomenys.

8.3

Bendrovė (Duomenų valdytojas) užtikrina, kad visi būtini susitarimai su paslaugų teikėjais (Duomenų tvarkytojais) dėl Duomenų saugumo būtų įtvirtinti rašytinės formos sutartyse, numatančiose tinkamas Duomenų saugumo priemones.

8.4

Duomenų tvarkytojai, veikiantys už Europos ekonominės erdvės ribų, pasitelkiami tik tais atvejais, kai yra laikomasi Taisyklių 12 dalyje numatytų reikalavimų.

8.5

Visos sutartys su Duomenų tvarkytojais turi suteikti teisę Bendrovei reguliariai atlikti paslaugų teikėjų auditą ir patikrinimus, skirtus įvertinti Duomenų tvarkytojo taikomų saugumo priemonių tinkamumą jo atliekamiems Duomenų tvarkymo veiksmams.

8.6

Duomenų tvarkytojai turi teisę pasitelkti kitus Duomenų tvarkytojus tik esant išankstiniam Bendrovės sutikimui ir tik tada, kai tokie Duomenų tvarkytojai prisiima to paties lygmens įsipareigojimus dėl Duomenų saugumo kaip ir pirminis paslaugų teikėjas (Duomenų tvarkytojas).

DUOMENŲ ATSKLEIDIMAS

9.1

Esant pagrindui, Bendrovė teikia Duomenis jų gavėjams – Trečiosioms šalims ir Duomenų tvarkytojams.

9.2

Duomenų tvarkytojams Asmens duomenys teikiami laikantis su jais sudarytose Asmens duomenų tvarkymo sutartyse įtvirtintų sąlygų.

9.3

Jeigu Bendrovė teikia Duomenis Trečiosioms šalims, tai daroma tik įvertinus Asmens duomenų tvarkymo tikslus, teikimo ir gavimo teisinius pagrindus, sąlygas, tvarką ir teikiamų Asmens duomenų apimtį.

9.4

Bendrovė gali perduoti asmens duomenis kitoms Bendrovės įmonių grupės įmonėms su sąlyga, kad laikomasi Reglamente, Įstatyme ir kituose teisės aktuose, reguliuojančiuose asmens duomenų apsaugą ir tvarkymą, nustatytų reikalavimų.

9.5

Bendrovė užtikrina, kad Asmens duomenys nebūtų atskleisti neįgaliotoms Trečiosioms šalims, įskaitant šeimos narius, draugus, valstybės institucijas ar įstaigas. Visi Darbuotojai turi būti itin atsargūs prieš atskleisdami bet kokius Asmens duomenis Trečiajai šaliai.

9.6

Kilus klausimų dėl Duomenų atskleidimo teisėtumo, Darbuotojai turi konsultuotis su Atsakingu darbuotoju.

10.

PRITAIKYTOJI IR STANDARTIZUOTOJI DUOMENŲ APSAUGA

10.1

Tiek nustatydama Duomenų tvarkymo priemones, tiek paties Duomenų tvarkymo metu Bendrovė įgyvendina tinkamas technines ir organizacines priemones, skirtas užtikrinti Duomenų apsaugos principų laikymąsi.

10.2

Šias technines ir organizacines priemones Bendrovė įgyvendina atsižvelgdama į techninių galimybių išsivystymo lygį, jų įgyvendinimo sąnaudas bei Duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į Duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms.

10.3

Pritaikytoji duomenų apsauga (angl. privacy by design) reiškia, kad kiekviena nauja programa ar sistema, naudojanti Asmens duomenis, turi būti kuriama atsižvelgiant į tokių Duomenų apsaugą. Į privatumą turi būti atsižvelgiama per visą programos ar sistemos gyvavimo laikotarpį.

10.4

Siekiant įgyvendinti pritaikytosios Duomenų apsaugos principą, kiekvienu konkrečiu atveju vertinami šie aspektai:

Duomenų kiekio ribojimas;
kontrolės galimybės;
skaidrumas;
vartotojui draugiškų sistemų diegimas;
Duomenų konfidencialumo ir kokybės užtikrinimas;
pseudonimų suteikimas;
anonimiškumo užtikrinimas;
galimybių tobulinti esamas ir įgyvendinti naujas saugumo priemones užtikrinimas;
tinkamas Darbuotojų mokymas bei informavimas;
vidaus auditų ir Taisyklių peržiūrų vykdymas;
Duomenų naudojimo ribojimas.

10.5

Standartizuotoji duomenų apsauga (angl. privacy by default) reikalauja taikyti griežčiausius privatumo nustatymus tam tikrai programai ar sistemai, kai tik ta programa ar sistema tampa prieinama Duomenų subjektams.

10.6

Siekiant įgyvendinti standartizuotosios Duomenų apsaugos principą, kiekvienu konkrečiu atveju atsižvelgiama į tai, kad:

standartizuotai turi būti tvarkomi tik tie Duomenys, kurie yra būtini konkrečiam Duomenų tvarkymo tikslui;
technologinės priemonės turi būti suprojektuotos taip, kad leistų išvengti nereikalingo Duomenų tvarkymo;
numatytieji nustatymai turi būti palankūs Duomenų apsaugai (numatomas aukščiausias privatumo lygis);
funkcijas, kurios nėra būtinos, turi būti leidžiama konfigūruoti.

10.7

Šiomis priemonėmis siekiama veiksmingai įgyvendinti Duomenų apsaugos principus, kaip antai Duomenų kiekio mažinimo principą, ir į Duomenų tvarkymą integruoti būtinas saugumo priemones, kad jis atitiktų Reglamento reikalavimus ir užtikrintų Duomenų subjektų teises.

10.8

Šioje dalyje aprašytų tikslų siekiama ir atliekant poveikio duomenų apsaugai vertinimą.

11.

DUOMENŲ SAUGOJIMAS IR SUNAIKINIMAS

11.1

Bendrovė nesaugos Duomenų tokia forma, kuri leistų identifikuoti Duomenų subjektus ilgiau nei tai yra būtina atsižvelgiant į tokių Duomenų tvarkymo tikslus.

11.2

Bendrovė gali saugoti Duomenis ilgiau, jeigu jie yra tvarkomi išimtinai archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais ir yra taikomos tinkamos techninės ir organizacinės priemonės, skirtos Duomenų subjektų teisėms ir laisvėms apsaugoti.

11.3

Kiekvienos kategorijos Duomenų saugojimo terminas ar jo nustatymo kriterijai yra nurodyti Duomenų tvarkymo veiklos įrašuose.

11.4

Bet koks Duomenų sunaikinimas bus vykdomas vadovaujantis gerosiomis saugaus Duomenų sunaikinimo praktikomis (t. y. tokiu būdu, kad būtų tinkamai užtikrintas Duomenų saugumas).

11.5

Elektronine forma saugomi Asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.

11.6

Popieriniai dokumentai, kuriuose yra Asmens duomenų, susmulkinami, o atliekos saugiai pašalinamos.

12.

DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES

12.1

Asmens duomenys gali būti perduodami į trečiąją valstybę (t. y. ne Europos ekonominės erdvės valstybę) arba tarptautinei organizacijai, jeigu jos teisinis reguliavimas Europos Komisijos buvo pripažintas užtikrinančiu adekvačią Asmens duomenų apsaugą (sprendimas dėl tinkamumo).

12.2

Asmens duomenys į trečiąsias valstybes arba tarptautinėms organizacijoms taip pat gali būti perduodami pritaikius vieną ar daugiau iš žemiau nurodomų tinkamų apsaugos priemonių:

įmonėms privalomos taisyklės;
Duomenų apsaugai skirtos standartinės sutarčių sąlygos, priimtos Europos Komisijos;
Duomenų apsaugai skirtos standartinės sutarčių sąlygos, priimtos Priežiūros institucijos ir patvirtintos Europos Komisijos, arba Priežiūros institucijos pripažintos sutarties sąlygos;
patvirtintas elgesio kodeksas, apibrėžiantis tarptautinį Duomenų perdavimą;
sertifikavimas, apsaugos ženklai ir (arba) žymenys, kuriais remiantis galima įrodyti, jog Duomenų tvarkytojas ar Duomenų valdytojas laikosi nustatytų Duomenų apsaugos priemonių.

12.3

Aukščiau nurodytos tinkamos apsaugos priemonės yra detalizuotos Reglamente.

12.4

Nesant priimto sprendimo dėl tinkamumo (12.1 punktas) ir nenustačius tinkamų apsaugos priemonių (12.2 punktas), Bendrovė perduoda Asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik esant vienai iš šių sąlygų ir laikantis kitų Reglamente nustatytų apribojimų:

Duomenų subjektas aiškiai sutiko su Duomenų perdavimu po to, kai buvo informuotas apie galimus tokio perdavimo pavojus Duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;
Duomenų perdavimas yra būtinas Duomenų subjekto ir Duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi Duomenų subjekto prašymu, įgyvendinti;
Duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta Duomenų subjekto interesais sudaroma Duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;
Duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus.

13.

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

13.1

Informacija apie Bendrovės tvarkomus Asmens duomenis yra pateikiama Duomenų tvarkymo veiklos įrašuose.

13.2

Bendrovės, kaip Duomenų valdytojo, Duomenų tvarkymo veiklos įrašuose nurodoma:

Duomenų valdytojo pavadinimas ir kontaktiniai duomenys;
Duomenų apsaugos pareigūno pavadinimas arba vardas, pavardė ir kontaktiniai duomenys (jei paskirtas);
verslo funkcija (departamentas) ir (arba) už Duomenų tvarkymą atsakingas Bendrovės Darbuotojas ar padalinys;
Duomenų tvarkymo teisinis pagrindas;
Duomenų tvarkymo tikslai;
bendro Duomenų valdytojo pavadinimas ir kontaktiniai duomenys (jei taikytina);
Duomenų subjektų kategorijos;
tvarkomų Asmens duomenų kategorijos;
Asmens duomenų gavėjų (įskaitant Duomenų gavėjus trečiosiose valstybėse ir tarptautines organizacijas), kuriems buvo arba bus atskleisti Asmens duomenys, kategorijos;
jei taikytina, Duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, Reglamento 49 straipsnio 1 dalies antroje pastraipoje nurodytų Duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;
Asmens duomenų tvarkymo (saugojimo) terminai;
bendras saugumo priemonių aprašymas;
kita reikalinga informacija.

13.3

Jeigu Bendrovė veikia kaip kitų Duomenų valdytojų Duomenų tvarkytojas, Bendrovės, kaip Duomenų tvarkytojo, Duomenų tvarkymo veiklos įrašuose nurodoma:

Duomenų tvarkytojo pavadinimas, kontaktiniai duomenys;
Duomenų apsaugos pareigūno pavadinimas arba vardas, pavardė ir kontaktiniai duomenys (jei paskirtas);
informacija apie Duomenų valdytoją, kurio vardu tvarkomi Asmens duomenys, ir jo atstovus;
Duomenų valdytojo vardu tvarkomų Asmens duomenų kategorijos;
jei taikytina, Duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, Reglamento 49 straipsnio 1 dalies antroje pastraipoje nurodytų Duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;
bendras saugumo priemonių aprašymas;
kita reikalinga informacija.

13.4

Duomenų tvarkymo veiklos įrašai pildomi Excel formatu.

13.5

Duomenų tvarkymo veiklos įrašus pildo Atsakingas darbuotojas, derindamas juos su asmenimis, atsakingais už konkrečiais tikslais vykdomą Duomenų tvarkymą.

13.6

Duomenų tvarkymo veiklos įrašuose esanti informacija patikrinama ir atnaujinama pasikeitus Duomenų tvarkymui ar įgyvendinamoms Duomenų saugumo priemonėms, bet ne rečiau kaip kartą per kalendorinius metus. Atnaujinant Duomenų tvarkymo veiklos įrašus, pildoma nauja jų versija ir nurodoma atnaujinimo data.

13.7

Peržiūrėdamas Duomenų tvarkymo veiklos įrašus, Atsakingas darbuotojas atsižvelgia į Bendrovėje atliktų poveikio duomenų apsaugai vertinimų, Duomenų apsaugos ir saugumo auditų bei kitų patikrinimų rezultatus.

13.8

Priežiūros institucijos prašymu Duomenų tvarkymo veiklos įrašai pateikiami Priežiūros institucijai.

13.9

Duomenų tvarkymo veiklos įrašus Priežiūros institucijai pateikia Atsakingas darbuotojas.

14.

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

14.1

Bendrovė yra susipažinusi su rizikomis, susijusiomis su aktualių Duomenų kategorijų tvarkymu.

14.2

Bendrovė atlieka su Duomenų tvarkymu susijusios rizikos fiziniams asmenims lygio vertinimus. Poveikio duomenų apsaugai vertinimai gali būti atliekami tiek dėl Duomenų tvarkymo Bendrovėje, tiek dėl Duomenų tvarkytojų atliekamo Duomenų tvarkymo Bendrovės vardu.

14.3

Bendrovė siekia suvaldyti rizikas, nustatytas tokio rizikų vertinimo metu, kad būtų sumažinta neigiamų pasekmių fiziniams asmenims tikimybė.

14.4

Kai dėl Duomenų tvarkymo rūšies (ypač kai naudojamos naujos technologijos) ir atsižvelgiant į Duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, Duomenų subjektų teisėms bei laisvėms gali kilti didelis pavojus, Bendrovė, prieš pradėdama tvarkyti Duomenis, atliks numatomų Duomenų tvarkymo veiksmų poveikio duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių Duomenų tvarkymo operacijų sekai išnagrinėti bus atliekamas vienas vertinimas.

14.5

Paaiškėjus, kad esama rizikų, dėl kurių galėtų kilti didelis žalos pavojus, konsultuojamasi su Priežiūros institucija prieš Bendrovei pradedant tokius Duomenų tvarkymo veiksmus.

14.6

Bendrovė imsis tinkamų priemonių, kad sumažintų su Duomenų tvarkymu susijusios rizikos lygį iki priimtino, atsižvelgiant į šių Taisyklių ir Reglamento reikalavimus.

14.7

Poveikio duomenų apsaugai vertinimo procedūra pridedama kaip priedas prie šių Taisyklių.

15.

BAIGIAMOSIOS NUOSTATOS

15.1

Atsakingo darbuotojo ar kitų Bendrovės Darbuotojų iniciatyva Taisyklės peržiūrimos ir keičiamos įvykus esminiams organizaciniams, sisteminiams ar kitiems Asmens duomenų tvarkymo ir (arba) veiklos pokyčiams ar pasikeitus asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimams, bet ne rečiau kaip kartą per kalendorinius metus.

15.2

Šios Taisyklės įsigalioja nuo jų patvirtinimo dienos ir gali būti panaikintos, pakeistos ir (arba) papildytos tik Bendrovės vadovo įsakymu. Taisyklių pakeitimai ir (arba) papildymai įsigalioja kitą dieną po jų priėmimo dienos.

15.3

Bendrovė užtikrina, kad Darbuotojai būtų laiku informuoti apie Taisyklių pakeitimus ir (arba) papildymus.

15.4

Su šiomis Taisyklėmis visi Darbuotojai turi būti supažindinti pasirašytinai.