ASMENS DUOMENŲ TVARKYMO,
NAUDOJIMO IR SAUGOJIMO TVARKA
Ši tvarka reglamentuoja asmens duomenų tvarkymą, naudojimą ir saugojimą VŠĮ „Savitri“, nustato duomenų subjektų teises, asmens duomenų apsaugos pažeidimo rizikos veiksnius, asmens duomenų apsaugos įgyvendinimo priemones ir kitus su asmens duomenų tvarkymu susijusius klausimus.
1. TAISYKLĖSE VARTOJAMOS SĄVOKOS
1.1. Įgalioti asmenys – Duomenų valdytojo darbuotojai (t. y. asmenys, tarp kurių ir Duomenų valdytojo yra sudarytos darbo sutartys) ir / arba kiti fiziniai asmenys, kurie sutarčių ar kitu pagrindu turi teisę tvarkyti Tvarkomus asmens duomenis.
1.2. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
1.3. Informacinė sistema – techninės ir programinės įrangos visuma ar visumos dalis, kurioje ir kurią naudojant yra tvarkomi asmens duomenys.
1.4. Asmens duomenų tvarkymas – reiškia bet kurį su asmens duomenimis atliekamą veiksmą: rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, grupavimą, jungimą, keitimą (papildymą ar taisymą), teikimą, paskelbimą, naudojimą, logines ir / ar aritmetines operacijas, paiešką, skleidimą, naikinimą ar kitokį veiksmą arba veiksmų rinkinį.
1.5. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys.
1.6. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko Duomenų valdytojas.
1.7. Duomenų valdytojas – VŠĮ „Savitri”, juridinio asmens kodas 301487578, buveinės adresas Savičiaus g. 13, Vilnius.
1.8. Taisyklės – šios Asmens duomenų tvarkymo taisyklės.
2. DUOMENŲ TVARKYMO PRINCIPAI, TIKSLAI, PRIEMONĖS
2.1. Duomenų valdytojas tvarko Asmens duomenis griežtai laikydamasis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų reikalavimų, taip pat šių principų:
2.1.1. Asmens duomenys yra renkami tik apibrėžtais ir teisėtais tikslais ir yra tvarkomi tik tokiais tikslais, kurie yra suderinami su nustatytais tikslais prieš renkant Asmens duomenis;
2.1.2. Asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;
2.1.3. Asmens duomenys yra tikslūs ir, jei reikia dėl Asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
2.1.4. Asmens duomenys tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;
2.1.5. saugomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
2.2. Duomenų valdytojas tvarko tokius Asmens duomenis ir tokiais tikslais:
2.2.1. registracijos į pamokas, paskaitas, kursus ir kt. mokymus. Tvarkomi duomenys: vardas, pavardė, gimimo data, gyvenamoji vieta (adresas), telefono numeris, elektroninio pašto adresas;
2.2.2. išrašyti finansinius dokumentus (pvz., sąskaitas faktūras). Tvarkomi duomenys: vardas, pavardė, asmens kodas ar gimimo data, gyvenamoji vieta (adresas), banko sąskaitos numeris;
2.2.3. tiesioginė rinkodara. Tvarkomi duomenys: telefono numeris ir elektroninio pašto adresas.
2.3. Tvarkyti Asmens duomenis turi teisę tik Įgalioti asmenys, kurie paskirti tvarkyti Asmens duomenis.
2.4. Įgaliotas asmuo privalo:
2.4.1. saugoti Asmens duomenų paslaptį;
2.4.2. tvarkyti Asmens duomenis vadovaudamasis Lietuvos Respublikos įstatymais, kitais teisės aktais ir šiomis Taisyklėmis;
2.4.3. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti Asmens duomenų;
2.4.4. nedelsiant pranešti Bendrovės vadovui ar jo paskirtam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Asmens duomenų saugumui.
2.5. Igaliotų asmenų, kurie tvarko Asmens duomenis, kompiuteriai turi būti apsaugoti slaptažodžiais. Slaptažodžiai turi būti keičiami periodiškai, o taip pat susidarius tam tikroms aplinkybėms (pvz., pasikeitus Įgaliotam asmeniui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Įgaliotas asmuo, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
2.6. Įgaliotas asmuo netenka teisės tvarkyti Asmens duomenis, kai pasibaigia Įgalioto asmens darbo ar panašaus pobūdžio sutartis su VŠĮ „Savitri“, arba kai bendrovės vadovas atšaukia Įgalioto asmens paskyrimą tvarkyti Asmens duomenis.
3. DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA
3.1. Duomenų subjektas turi sekančias teises:
3.1.1. žinoti (būti informuotas) apie savo Asmens duomenų tvarkymą;
3.1.2. susipažinti su savo Asmens duomenimis ir kaip jie yra tvarkomi;
3.1.3. reikalauti ištaisyti, sunaikinti savo Asmens duomenis arba sustabdyti, išskyrus saugojimą, savo Asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų;
3.1.4. nesutikti, kad būtų tvarkomi jo Asmens duomenys;
3.1.5. gauti iš Duomenų valdytojo informaciją apie jį (t. y. Duomenų valdytoją): pavadinimą, buveinės adresą, kodą, asmens duomenų tvarkymo vietą;
3.1.6. žinoti kokiais tikslais tvarkomi Duomenų subjekto Asmens duomenys;
3.1.7. gauti iš Duomenų valdytojo kitą papildomą informaciją (kam ir kokiais tikslais teikiami Duomenų subjekto Asmens duomenys; kokius savo Asmens duomenis Duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie Duomenų subjekto teisę susipažinti su savo Asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo Asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas Asmens duomenų tvarkymas nepažeidžiant Duomenų subjekto teisių;
3.1.8. Duomenų subjektas, pateikęs Duomenų valdytojui asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems Duomenų gavėjams teikiami ir buvo teikti bent per paskutinius vienus metus;
3.1.9. Duomenų valdytojas, gavęs Duomenų subjekto paklausimą dėl jo Asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję Asmens duomenys yra tvarkomi, ir pateikti Duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo Duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis Duomenų valdytojas teikia Duomenų subjektui kartą per kalendorinius metus.
3.1.10. jeigu Duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jo Asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Duomenų valdytoją, Duomenų valdytojas nedelsdamas privalo Asmens duomenis patikrinti ir Duomenų subjekto prašymu (išreikštu rašytine, žodine ar kita forma) nedelsdamas ištaisyti neteisingus, neišsamius, netikslius Asmens duomenis ir (arba) sustabdyti tokių Asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
3.1.11. jeigu Duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jo Asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į Duomenų valdytoją, Duomenų valdytojas nedelsdamas privalo neatlygintinai patikrinti Asmens duomenų tvarkymo teisėtumą, sąžiningumą ir Duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdamas sunaikinti neteisėtai ir nesąžiningai sukauptus Asmens duomenis ar sustabdyti tokių Asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
3.1.12. Duomenų subjekto prašymu sustabdžius jo Asmens duomenų tvarkymo veiksmus, Asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (Duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais Asmens duomenimis gali būti atliekami tik: turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti; jei Duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis; jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.
3.1.13. Duomenų valdytojas privalo nedelsdamas pranešti Duomenų subjektui apie jo prašymu atliktą ar neatliktą Asmens duomenų ištaisymą, sunaikinimą ar Asmens duomenų tvarkymo veiksmų sustabdymą.
3.1.14. Asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal Duomenų subjekto tapatybę ir jo Asmens duomenis patvirtinančius dokumentus, gavus Duomenų subjekto prašymą.
3.1.15. jeigu Duomenų valdytojas abejoja Duomenų subjekto pateiktų Asmens duomenų teisingumu, jis privalo sustabdyti tokių duomenų tvarkymo veiksmus, duomenis patikrinti ir patikslinti. Tokie Asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.
3.1.16. Duomenų valdytojas privalo nedelsdamas informuoti Duomenų gavėjus apie Duomenų subjekto prašymu ištaisytus ar sunaikintus Asmens duomenis, sustabdytus Asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio Duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
3.1.17. Duomenų subjektas taip pat turi ir visas kitas teises, kurios jam yra suteiktos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose.
3.2.Duomenų valdytojas įsipareigoja visais atvejais sudaryti tinkamas sąlygas Duomenų subjektui įgyvendinti šių Taisyklių 3.1 nurodytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti: valstybės saugumą ar gynybą; viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą; svarbius valstybės ekonominius ar finansinius interesus; tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą; Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.
3.3. Duomenų valdytojas, gavęs Duomenų subjekto prašymą įgyvendinti Taisyklių 3.1 nurodytas teises, per 30 kalendorinių dienų, nuo duomenų subjekto kreipimosi dienos, jį išnagrinėja ir patenkina arba motyvuotai atsisako patenkinti. Jeigu Duomenų subjekto prašymas išreikštas rašytine forma, Duomenų valdytojas pateikia jam atsakymą raštu.
3.4. Duomenų subjektas gali skųsti Duomenų valdytojo veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo iš Duomenų valdytojo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi šių Taisyklių 3.3 nurodytas terminas pateikti atsakymą.
4. ASMENS DUOMENŲ GAVĖJAI IR ASMENS DUOMENŲ TEIKIMO TVARKA
4.1. Duomenų valdytojo surinkti duomenys paprastai yra naudojami tik pačio Duomenų valdytojo, tiems tikslams, kuriems jie buvo surinkti, pasiekti.
4.2. Duomenų valdytojas paprastai niekam neteikia surinktų Tvarkomų asmens duomenų. Turimi Asmens duomenys yra paprastai tvarkomi tik pačio Duomenų valdytojo.
4.3. Duomenų valdytojas perduoda Tvarkomus asmens duomenis tik išimtiniais atvejais, esant teisėtam tikslui ir tik tuo atveju, jeigu Tvarkomus asmens duomenis gaunantis asmuo įsipareigoja užtikrinti ne mažesnį Asmens duomenų apsaugos lygį, negu jį užtikrina pats Duomenų valdytojas.
5. PRIEIGOS TEISIŲ IR ĮGALIOJIMŲ TVARKYTI ASMENS DUOMENIS SUTEIKIMO, NAIKINIMO IR KEITIMO TVARKA
5.1. Įgalioti asmenys, kurie yra Duomenų valdytojo darbuotojais, turi teisę tvarkyti Asmens duomenis nuo darbo santykių pradžios iki jų pabaigos.
5.2. Įgalioti asmenys, kurie nėra Duomenų valdytojo darbuotojais, turi teisę tvarkyti Asmens duomenis nuo to momento, kai Duomenų valdytojas jiems suteikią tokią teisę iki ši teisė yra panaikinama ar pasibaigia.
6. ASMENS DUOMENŲ APSAUGOS PAŽEIDIMO RIZIKOS VEIKSNIAI
6.1. Asmens duomenų apsaugos pažeidimas – tai veiksmai ar neveikimas, kurie gali sukelti ar sukelia nepageidaujamus padarinius, taip pat prieštarauja imperatyvioms įstatymų, reglamentuojančių Asmens duomenų apsaugą, normoms. Asmens duomenų apsaugos pažeidimo poveikio laipsnį, žalą ir padarinius kiekvienu konkrečiu atveju nustato VŠĮ „Savitri“ vadovas ar jo sudaryta komisija.
6.2. Asmens duomenų apsaugos pažeidimo rizikos veiksniai:
6.2.1. netyčiniai, kai Asmens duomenų apsauga pažeidžiama dėl atsitiktinių priežasčių (duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo, neteisingų maršrutų (adresų) perduodant duomenis nustatymo ir pan., ar sistemų sutrikimai dėl elektros tiekimo nutrūkimo, kompiuterinio viruso ir pan., vidaus taisyklių pažeidimas, sistemos priežiūros trūkumas, programinės įrangos testai, netinkama duomenų laikmenų priežiūra, netinkamas linijų pajėgumas ir apsauga, kompiuterių integravimas į tinklą, kompiuterinių programų apsaugos, nepakankamos fakso medžiagų tiekimas ir kt.);
6.2.2. tyčiniai, kai Asmens duomenų apsauga pažeidžiama sąmoningai (neteisėtas įsibrovimas į VŠĮ „Savitri“ patalpas, informacines sistemas, kompiuterių tinklą, piktybinis nustatytų taisyklių tvarkant Asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, Asmens duomenų vagystė, neteisėtas naudojimasis kito Įgalioto asmens teisėmis ir kt.);
6.2.3. netikėti atsitiktiniai įvykiai (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir/ar drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, atsitiktinės techninės avarijos, kiti nenugalimi ir/ar nekontroliuojami veiksniai ir pan.).
7. ASMENS DUOMENŲ TVARKYMO TERMINAS
7.1. Asmens duomenys pradedami tvarkyti Duomenų subjektui davus savo sutikimą tvarkyti jo Asmens duomenis.
7.2. VŠĮ „Savitri“ Asmens duomenis saugo ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai, o suėjus teisės aktuose nurodytiems terminams, visi Asmens duomenys yra sunaikinami.
8. BAGIAMOSIOS NUOSTATOS
8.1. Įgaliotiems asmenims, kurie pažeidžia Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, kituose teisės aktuose, reglamentuojančiuose Asmens duomenų tvarkymą ir apsaugą, arba šias Taisykles, taikomos Lietuvos Respublikos įstatymuose numatytos atsakomybės priemonės.
8.2. Taisyklių laikymosi priežiūra ir, esant poreikiui, peržiūra ne rečiau kaip kartą per 2 metus, patikima VŠĮ „Savitri“ vadovui ar jo įgaliotam asmeniui.
8.3. Atsakingi Įgalioti asmenys su Taisyklėmis supažindinami pasirašytinai.