PATVIRTINTA Veiklos vykdytojos Virginijos Petrauskienės
2018 m. gegužės 24 d.
įsakymu Nr. V-01
ASMENS DUOMENŲ APSAUGOS POLITIKA
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Ši tvarka reglamentuoja asmens duomenų tvarkymą, naudojimą ir saugojimą , nustato duomenų subjektų teises, asmens duomenų apsaugos pažeidimo rizikos veiksnius, asmens duomenų apsaugos įgyvendinimo priemones ir kitus su asmens duomenų tvarkymu susijusius klausimus.
2. Veiklos vykdytojas taikydamas organizacines ir technines priemones užtikrina tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo, ar sugadinimo.
3. Tvarkoje naudojamos sąvokos:
3.1. Asmens duomenų subjektas yra klientas – fizinis asmuo arba su klientu susijęs asmuo (kliento atstovas, sutuoktinis, partneris ir pan.).
3.2. Asmens duomenų valdytojas – Virginija Petrauskienė vykdanti individualią veiklą pagal pažymą, Pažymos Nr. 546014, veikla vykdoma adresu Laukininkų 19, Klaipėda, PC Vuturys, 2 aukštas (toliau– veiklos vykdytojas). Kontaktinis tel. nr. +370 600 09330
3.3. Asmens duomenys – informacija susijusi su fiziniu asmeniu – duomenų subjektu apimant, bet neapsiribojant tokiais duomenimis kaip: vardas, pavardė, gimimo data, kontaktiniai duomenys, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
3.4. Asmens duomenų tvarkymas – tai bet koks automatizuotomis arba neautomatizuotomis priemonėmis su Asmens duomenimis atliekamas veiksmas ar jų seka, įskaitant jos rinkimą, užrašymą, kaupimą, saugojimą, naikinimą, klasifikavimą, perkėlimą, keitimą (pildymą ar taisymą), prieigos suteikimą, užklausų pateikimą, perdavimą, paskelbimą, naudojimą, paiešką.
3.5. Sutikimas – laisva valia išreikštas Duomenų subjekto veiksmas, kuriuo jis sutinka dėl asmens duomenų tvarkymo.
3.6. Registracijos arba užsakymo anketa - tai dokumentas, įskaitant ir elektroninį, patvirtinantis tarp veiklos vykdytojo ir asmens domenų subjekto sudarytą susitarimą.
2. Veiklos vykdytojas taikydamas organizacines ir technines priemones užtikrina tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo, ar sugadinimo.
3. Tvarkoje naudojamos sąvokos:
3.1. Asmens duomenų subjektas yra klientas – fizinis asmuo arba su klientu susijęs asmuo (kliento atstovas, sutuoktinis, partneris ir pan.).
3.2. Asmens duomenų valdytojas – Virginija Petrauskienė vykdanti individualią veiklą pagal pažymą, Pažymos Nr. 546014, veikla vykdoma adresu Laukininkų 19, Klaipėda, PC Vuturys, 2 aukštas (toliau– veiklos vykdytojas). Kontaktinis tel. nr. +370 600 09330
3.3. Asmens duomenys – informacija susijusi su fiziniu asmeniu – duomenų subjektu apimant, bet neapsiribojant tokiais duomenimis kaip: vardas, pavardė, gimimo data, kontaktiniai duomenys, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
3.4. Asmens duomenų tvarkymas – tai bet koks automatizuotomis arba neautomatizuotomis priemonėmis su Asmens duomenimis atliekamas veiksmas ar jų seka, įskaitant jos rinkimą, užrašymą, kaupimą, saugojimą, naikinimą, klasifikavimą, perkėlimą, keitimą (pildymą ar taisymą), prieigos suteikimą, užklausų pateikimą, perdavimą, paskelbimą, naudojimą, paiešką.
3.5. Sutikimas – laisva valia išreikštas Duomenų subjekto veiksmas, kuriuo jis sutinka dėl asmens duomenų tvarkymo.
3.6. Registracijos arba užsakymo anketa - tai dokumentas, įskaitant ir elektroninį, patvirtinantis tarp veiklos vykdytojo ir asmens domenų subjekto sudarytą susitarimą.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI, PAGRINDAS IR APIMTIS
4. Veikloje asmens duomenų tvarkymo pagrindas gali būti su duomenų subjektu sudarytos sutarties vykdymas, duomenų subjekto sutikimas tvarkyti jo asmens duomenis, taip pat įstatymuose nustatytų taikomų įpareigojimų vykdymas.
5. Asmens duomenys tvarkomi įgyvendinant Asmens duomenų teisinės apsaugos įstatymo nustatytus reikalavimus.
6. Nuo 2018 m. gegužės 25 d. Asmens duomenis tvarkomi, vadovaujantis tiesiogiai taikomu 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – Reglamentas).
7. Duomenų subjekto duomenis tvarkomi šiais tikslais (įskaitant, bet neapsiribojant atvejais kai gaunamas atskiras duomenų subjekto sutikimas dėl duomenų tvarkymo):
7.1 paslaugoms teikti ir kitai veiklai vykdyti kaip tai numatyta individualiai veiklai pagal pažymą taikomuose teisės aktuose;
7.2 klientui informuoti apie jo paslaugų sutartis ir įsipareigojimų vykdymą sudarytas su veiklos vykdytoju;
7.3 duomenų subjektui informuoti apie naujas veiklos paslaugas ir naujienas;
7.4 klientų, veiklos vykdytojo, darbuotojų saugumui užtikrinti, atliekant vaizdo stebėjimą;
8. veiklos vykdytojo sutarčių sudarymo ir vykdymo bei teikiamų paslaugų kokybei vertinti, teirautis nuomonės apie teikiamas paslaugas, aptarnavimą ir jų kokybę ir rinkos tyrimams atlikti;
9. kitais teisėtais tikslais kaip nurodyta Lietuvos Respublikos teisės aktuose.
5. Asmens duomenys tvarkomi įgyvendinant Asmens duomenų teisinės apsaugos įstatymo nustatytus reikalavimus.
6. Nuo 2018 m. gegužės 25 d. Asmens duomenis tvarkomi, vadovaujantis tiesiogiai taikomu 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – Reglamentas).
7. Duomenų subjekto duomenis tvarkomi šiais tikslais (įskaitant, bet neapsiribojant atvejais kai gaunamas atskiras duomenų subjekto sutikimas dėl duomenų tvarkymo):
7.1 paslaugoms teikti ir kitai veiklai vykdyti kaip tai numatyta individualiai veiklai pagal pažymą taikomuose teisės aktuose;
7.2 klientui informuoti apie jo paslaugų sutartis ir įsipareigojimų vykdymą sudarytas su veiklos vykdytoju;
7.3 duomenų subjektui informuoti apie naujas veiklos paslaugas ir naujienas;
7.4 klientų, veiklos vykdytojo, darbuotojų saugumui užtikrinti, atliekant vaizdo stebėjimą;
8. veiklos vykdytojo sutarčių sudarymo ir vykdymo bei teikiamų paslaugų kokybei vertinti, teirautis nuomonės apie teikiamas paslaugas, aptarnavimą ir jų kokybę ir rinkos tyrimams atlikti;
9. kitais teisėtais tikslais kaip nurodyta Lietuvos Respublikos teisės aktuose.
III SKYRIUS
DUOMENŲ SUBJEKTO TEISĖS
10. Duomenų subjektui garantuojamos teisės, susijusios su jo asmens duomenų tvarkymu, apima teisę:
10.1. prašyti ištaisyti Duomenų subjekto duomenis, jeigu jie yra neteisingi, neišsamūs arba netikslūs;
10.2. nesutikti, kad būtų tvarkomi Duomenų subjekto duomenys, jeigu Duomenų subjekto duomenų tvarkymo pagrindas yra teisėti interesai;
10.3. gauti informaciją apie tai, ar veiklos vykdytojas tvarko Duomenų subjektų duomenis ir, jei taip, susipažinti su jais;
10.4. gauti Duomenų subjekto pateiktus Asmens duomenis, kurie yra tvarkomi jo sutikimo ar sutarties vykdymo pagrindu, raštu ar bendrai naudojama elektronine forma ir, esant Duomenų subjekto prašymui, perduoti tokius duomenis kitam paslaugų teikėjui (duomenų perkeliamumas);
10.5. atšaukti savo sutikimą tvarkyti Duomenų subjekto duomenis;
10.6. Bendrovė asmens duomenis tikslina, taiso ir atnaujina asmens, kurio duomenys yra tvarkomi, iniciatyva. Bendrovės darbuotojai duomenų subjekto duomenis gali taisyti tuo atveju, jeigu paties duomenų subjekto pateikti duomenis nurodyti su gramatinėmis klaidomis.
10.7. Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti Duomenų subjektui įgyvendinti jo teises arba imti pagrįstą mokestį esant Bendrojo duomenų apsaugos reglamento 12 str. 5 d. numatytoms aplinkybėms.
10.8. Pateikti skundą dėl Duomenų valdytojo veiksmų (neveikimo) Valstybinei duomenų apsaugos inspekcijai (internetinio puslapio adresas www.ada.lt) per 3 mėnesius nuo atsakymo iš Duomenų valdytojo gavimo dienos arba per 3 mėnesius, kada baigiasi duomenų valdytojo atsakymo į duomenų subjekto kreipimąsi terminas (t. y. po 30 kalendorinių dienų nuo Duomenų subjekto kreipimosi dienos). Skundą / prašymą veiklos vykdytojui Duomenų subjektas gali pateikti el. paštu
10.9. Duomenų subjektas turi teisę nesutikti, kad:
10.9.1. būtų tvarkomi jo asmens duomenys, ir įsipareigoja savo teisiškai pagristą nesutikimą pateikti Įmonei raštu arba būdu, kuriuo galima atpažinti duomenų subjekto tapatybę, jei šis nuspręstų, kad Įmonė duomenų subjekto duomenis tvarko neteisėtai;
10.9.2. būtų tvarkomi jo asmens duomenys tiesioginės rinkodaros tikslais, ir turi teisę nenurodyti tokio nesutikimo motyvų.
10.1. prašyti ištaisyti Duomenų subjekto duomenis, jeigu jie yra neteisingi, neišsamūs arba netikslūs;
10.2. nesutikti, kad būtų tvarkomi Duomenų subjekto duomenys, jeigu Duomenų subjekto duomenų tvarkymo pagrindas yra teisėti interesai;
10.3. gauti informaciją apie tai, ar veiklos vykdytojas tvarko Duomenų subjektų duomenis ir, jei taip, susipažinti su jais;
10.4. gauti Duomenų subjekto pateiktus Asmens duomenis, kurie yra tvarkomi jo sutikimo ar sutarties vykdymo pagrindu, raštu ar bendrai naudojama elektronine forma ir, esant Duomenų subjekto prašymui, perduoti tokius duomenis kitam paslaugų teikėjui (duomenų perkeliamumas);
10.5. atšaukti savo sutikimą tvarkyti Duomenų subjekto duomenis;
10.6. Bendrovė asmens duomenis tikslina, taiso ir atnaujina asmens, kurio duomenys yra tvarkomi, iniciatyva. Bendrovės darbuotojai duomenų subjekto duomenis gali taisyti tuo atveju, jeigu paties duomenų subjekto pateikti duomenis nurodyti su gramatinėmis klaidomis.
10.7. Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti Duomenų subjektui įgyvendinti jo teises arba imti pagrįstą mokestį esant Bendrojo duomenų apsaugos reglamento 12 str. 5 d. numatytoms aplinkybėms.
10.8. Pateikti skundą dėl Duomenų valdytojo veiksmų (neveikimo) Valstybinei duomenų apsaugos inspekcijai (internetinio puslapio adresas www.ada.lt) per 3 mėnesius nuo atsakymo iš Duomenų valdytojo gavimo dienos arba per 3 mėnesius, kada baigiasi duomenų valdytojo atsakymo į duomenų subjekto kreipimąsi terminas (t. y. po 30 kalendorinių dienų nuo Duomenų subjekto kreipimosi dienos). Skundą / prašymą veiklos vykdytojui Duomenų subjektas gali pateikti el. paštu
10.9. Duomenų subjektas turi teisę nesutikti, kad:
10.9.1. būtų tvarkomi jo asmens duomenys, ir įsipareigoja savo teisiškai pagristą nesutikimą pateikti Įmonei raštu arba būdu, kuriuo galima atpažinti duomenų subjekto tapatybę, jei šis nuspręstų, kad Įmonė duomenų subjekto duomenis tvarko neteisėtai;
10.9.2. būtų tvarkomi jo asmens duomenys tiesioginės rinkodaros tikslais, ir turi teisę nenurodyti tokio nesutikimo motyvų.
IV SKYRIUS
ASMENS DUOMENŲ SAUGUMAS
11. Duomenų valdytojo įgyvendinamos organizacinės ir techninės duomenų saugumo priemonės užtikrina tokį saugumo lygį, kuris atitinka Duomenų valdytojo valdomų Duomenų pobūdį ir jų tvarkymo keliamą riziką.
12. Veiklos vykdytojas vykdo techninę ir programinės įrangos apsaugą (informacinių sistemų ir duomenų bazių administravimas, darbo vietų priežiūra, operacinių sistemų apsauga, vartotojų prieigos stebėjimas (monitoringas), apsauga nuo kompiuterių virusų ir kt.).
13. Veiklos vykdytojas taiko administracines saugumo priemones (saugus dokumentų ir kompiuterio duomenų bei jų archyvų tvarkymo, personalo instruktavimas įsidarbinant ir išeinant / atleidžiant iš darbo ir kt.).
14. Duomenų valdytojas įsipareigoja neatskleisti Duomenų subjekto asmens duomenų tretiesiems asmenims, išskyrus Duomenų valdytojo darbuotojus arba jei tai yra būtina pagal imperatyvias teisės aktų nuostatas, arba gautas Duomenų subjekto raštiškas sutikimas.
15. Duomenų valdytojo darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.
16. Nešiojamuosiuose kompiuteriuose, jeigu jie naudojami ne Duomenų valdytojo vidiniame duomenų perdavimo tinkle, esantys Asmens duomenys yra apsaugomi atitinkamomis priemonėmis, kurios atitinka Duomenų tvarkymo keliamą riziką.
17. Darbuotojams yra suteikiama prieiga prie asmens duomenų tik tokia apimtimi, kokia yra būtina tinkamam pareigų vykdymui bei darbo funkcijų įgyvendinimui.
18. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai (ne rečiau kaip kas 3 (tris) mėnesius), o taip pat susidarius tam tikroms aplinkybėms (pvz., pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
19. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia darbuotojo darbo ar panašaus pobūdžio sutartis su Bendrove, arba kai Bendrovės vadovas atšaukia darbuotojo paskyrimą tvarkyti asmens duomenis.
20. Asmens duomenys, esantys išorinėse laikmenose ir elektroniniame pašte, privalo būti tinkamai apsaugoti bei po jų panaudojimo iš karto juos perkeliant į duomenų bazes.
21. Asmens duomenų keliamos rizikos vertinimas atliekamas nustatant grėsmių tikimybes bei riziką, atsižvelgiant į duomenų vientisumą, prieinamumą ir konfidencialumą pagal kiekvieną asmens duomenų tvarkymo tikslą.
22. Darbuotojai, pastebėję asmens duomenų saugos pažeidimų, nusikalstamos veikos požymių, neveikiančias asmens duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai informuoti Bendrovės vadovą.
23. Įvertinęs Duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamasis atitinkamomis vidinėmis procedūromis, Duomenų valdytojas priima sprendimus dėl priemonių, reikiamų Duomenų apsaugos pažeidimui ir jo padariniams pašalinti bei reikiamiems subjektams informuoti.
24. Asmens duomenys turi būt saugomi ne ilgiau nei to reikalauja duomenų tvarkymo tikslai, taip pat vadovaujantis Individualios veiklos buhalterinės apskaitos taisyklėmis, Bendrąją dokumentų saugojimo terminų rodykle ir kitais teisės aktais reguliuojančiais pasirinktą veiklos vykdymo sritį.
12. Veiklos vykdytojas vykdo techninę ir programinės įrangos apsaugą (informacinių sistemų ir duomenų bazių administravimas, darbo vietų priežiūra, operacinių sistemų apsauga, vartotojų prieigos stebėjimas (monitoringas), apsauga nuo kompiuterių virusų ir kt.).
13. Veiklos vykdytojas taiko administracines saugumo priemones (saugus dokumentų ir kompiuterio duomenų bei jų archyvų tvarkymo, personalo instruktavimas įsidarbinant ir išeinant / atleidžiant iš darbo ir kt.).
14. Duomenų valdytojas įsipareigoja neatskleisti Duomenų subjekto asmens duomenų tretiesiems asmenims, išskyrus Duomenų valdytojo darbuotojus arba jei tai yra būtina pagal imperatyvias teisės aktų nuostatas, arba gautas Duomenų subjekto raštiškas sutikimas.
15. Duomenų valdytojo darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.
16. Nešiojamuosiuose kompiuteriuose, jeigu jie naudojami ne Duomenų valdytojo vidiniame duomenų perdavimo tinkle, esantys Asmens duomenys yra apsaugomi atitinkamomis priemonėmis, kurios atitinka Duomenų tvarkymo keliamą riziką.
17. Darbuotojams yra suteikiama prieiga prie asmens duomenų tik tokia apimtimi, kokia yra būtina tinkamam pareigų vykdymui bei darbo funkcijų įgyvendinimui.
18. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai (ne rečiau kaip kas 3 (tris) mėnesius), o taip pat susidarius tam tikroms aplinkybėms (pvz., pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
19. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia darbuotojo darbo ar panašaus pobūdžio sutartis su Bendrove, arba kai Bendrovės vadovas atšaukia darbuotojo paskyrimą tvarkyti asmens duomenis.
20. Asmens duomenys, esantys išorinėse laikmenose ir elektroniniame pašte, privalo būti tinkamai apsaugoti bei po jų panaudojimo iš karto juos perkeliant į duomenų bazes.
21. Asmens duomenų keliamos rizikos vertinimas atliekamas nustatant grėsmių tikimybes bei riziką, atsižvelgiant į duomenų vientisumą, prieinamumą ir konfidencialumą pagal kiekvieną asmens duomenų tvarkymo tikslą.
22. Darbuotojai, pastebėję asmens duomenų saugos pažeidimų, nusikalstamos veikos požymių, neveikiančias asmens duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai informuoti Bendrovės vadovą.
23. Įvertinęs Duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamasis atitinkamomis vidinėmis procedūromis, Duomenų valdytojas priima sprendimus dėl priemonių, reikiamų Duomenų apsaugos pažeidimui ir jo padariniams pašalinti bei reikiamiems subjektams informuoti.
24. Asmens duomenys turi būt saugomi ne ilgiau nei to reikalauja duomenų tvarkymo tikslai, taip pat vadovaujantis Individualios veiklos buhalterinės apskaitos taisyklėmis, Bendrąją dokumentų saugojimo terminų rodykle ir kitais teisės aktais reguliuojančiais pasirinktą veiklos vykdymo sritį.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
25. Duomenų subjektai su šia asmens duomenų apsaugos politika gali susipažinti www.rollerstudija.lt. ir facebook verslo paskyroje.
26. Politika bus peržiūrimos kartą per kalendorinius metus Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems asmens duomenų tvarkymą.
27. Šios politikos pagrindu kylantiems santykiams taikoma Lietuvos Respublikos teisė.
28. Visi nesutarimai, kilę dėl šios politikos vykdymo, sprendžiami derybų būdu. Nepavykus susitarti, ginčai sprendžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.
29. Ši politika įsigalioja 2018 m. gegužės 25 d. Su šia politika ir/ ar bendrai su duomenų apsauga susijusiais klausimais susisiekti galima kreipiantis žemiau nurodytais kontaktais:
El. paštu: [email protected]
Tel. Nr. +370 647 06484
26. Politika bus peržiūrimos kartą per kalendorinius metus Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems asmens duomenų tvarkymą.
27. Šios politikos pagrindu kylantiems santykiams taikoma Lietuvos Respublikos teisė.
28. Visi nesutarimai, kilę dėl šios politikos vykdymo, sprendžiami derybų būdu. Nepavykus susitarti, ginčai sprendžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.
29. Ši politika įsigalioja 2018 m. gegužės 25 d. Su šia politika ir/ ar bendrai su duomenų apsauga susijusiais klausimais susisiekti galima kreipiantis žemiau nurodytais kontaktais:
El. paštu: [email protected]
Tel. Nr. +370 647 06484