Patvirtinta:

UAB „GEDALEKSAS“ direktoriaus

2018-06-__ Įsakymu Nr. xx


UAB „GEDALEKSAS“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

1. BENDROSIOS NUOSTATOS
1.1. Šių UAB „GEDALEKSAS“ (toliau – Bendrovė) asmens duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Bendrovėje, Europos sąjungos ir nacionalinių teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir tinkamą įgyvendinimą.

1.2. Taisyklės reglamentuoja pirkėjų/ klientų, asmenų pateikiančių Bendrovei asmens duomenis duomenų tvarkymo sąlygas. Bendrovės darbuotojų duomenų tvarkymo sąlygas šios Taisyklės nustato kartu su Darbuotojų asmens duomenų tvarkymo ir saugojimo politikos aprašu. Taisyklės taikomos Bendrovės darbuotojams, Bendrovės paskirtiems duomenų tvarkytojams ir jų darbuotojams (atstovams), tvarkantiems asmens duomenis, nepriklausomai nuo jų priėmimo į darbą sąlygų. Taisyklės taip pat taikomos visiems Bendrovės paskirtiems ekspertams (konsultantams) ir kitiems asmenims, kurie eidami savo pareigas sužino Bendrovės turimus asmens duomenis.

1.3. Bet kurie asmenys, įskaitant bet neapsiribojant Bendrovės darbuotojus, įgalioti tvarkyti asmens duomenis, privalo laikytis šių Taisyklių. Bendrovės darbuotojai, įgalioti tvarkyti asmens duomenis, pasirašytinai supažindinami su Taisyklėmis. Bendrovės darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, laikosi pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir šiose Taisyklėse.

1.4. Taisyklėse naudojamos sąvokos yra suderintos su Europos Parlamento ir Tarybos reglamento (ES) 2016/679 „dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)“ (toliau – Reglamentas) ir nacionalinės teisės aktų, tame tarpe Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, nuostatomis. Jei kuri nors sąvoka nėra atskirai apibrėžta Taisyklėse, ji naudojama taip, kaip nustatyta galiojančiuose teisės aktuose.

1.5. Taisyklėse naudojamos sąvokos:

1.5.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį – duomenų subjektą, kurio tapatybė nustatyta arba kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, pasinaudojant tokiais asmenį identifikuojančiais duomenimis kaip vardas ir pavardė, asmens identifikavimo numeris (asmens kodas ar pan.), buvimo vietos duomenys ir interneto identifikatorius arba pagal vieną ar kelis asmeniui būdingus fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

1.5.2. Asmens duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip pavyzdžiui rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

1.5.3. Bendrovės asmens duomenų operacijų registravimo ir valdymo žurnalas – Bendrovės įgalioto (-ų) darbuotojo (-ų) pildomas žurnalas, skirtas Bendrovei pateiktų skundų, prašymų ir pan., susijusių su asmens duomenų tvarkymu registracijai ir administravimui. Žurnalo forma pridedama prie Taisyklių kaip priedas Nr. 3.

1.5.4. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

1.5.5. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.

1.5.6. Specialiųjų kategorijų asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.

1.5.7. Trečiasis asmuo – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, Duomenų valdytojas, Duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu Duomenų valdytojo ar Duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.

1.5.8. Saugumo incidentas – Asmens duomenų saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

1.6. Asmens duomenys Bendrovėje tvarkomi vadovaujantis Taisyklėmis ir galiojančiais Europos Sąjungos bei nacionaliniais teisės aktais Valstybinės duomenų apsaugos inspekcijos ar ES institucijų priimtais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, kitais šių institucijų išaiškinimais, taip pat kokybės standartais, jei Bendrovei yra suteikti kokybės standartai duomenų tvarkymo ir apsaugos srityje.

1.7. Darbuotojai ir kiti asmenys, turintys prieigą prie Asmens duomenų, pasirašo pasižadėjimą, kurio forma pateikti Taisyklių priede Nr. 4.

2. PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
2.1. Bendrovė Asmens duomenis tvarko šiais tikslais:

2.1.1. Sutartinių santykių, susijusių su prekyba, įskaitant ir elektroninę prekybą tikslu - tai yra siekiant identifikuoti klientą, vykdyti prekių pardavimo veiklą, apdoroti ir administruoti kliento užsakymus, išrašyti klientui finansinius dokumentus, pristatyti prekes, teikti garantines paslaugas, atlikti pinigų grąžinimą ar prekių keitimą, spręsti su kliento atliktu pirkimu susijusias problemas, vykdyti kitus Bendrovės kaip pardavėjo įsipareigojimus;

2.1.2. Bendrovės pardavimų ir prekių kokybės užtikrinimo tikslais, įskaitant ir galimybės pateikti užklausimą per Bendrovės el. svetainę, administruojamus socialinius tinklus apie Bendrovę, jos veiklą, konkrečias prekes, pirkimo sąlygas, kokybės užtikrinimo sąlygas ir pan. sudarymą, atsakymų į užklausimus pateikimą ir vykdymą;

2.1.3. Vaizdo stebėjimo tikslu, kuriuo siekiama užtikrinti darbuotojų, klientų ir nuosavybės apsaugą, taip pat garantuoti turto saugumą ir neliečiamumą.

2.1.4. Tiesioginės rinkodaros tikslu, įskaitant reklaminių akcijų (tiesioginės rinkodaros žaidimų, loterijų, konkursų) vykdymą;

2.1.5. Darbuotojų atrankos į Bendrovės siūlomas darbo vietas tikslu, taip pat kandidatų duomenų bazės administravimo tikslu;

2.1.6. Darbuotojų darbo ir darbuotojų veiklos administravimo tikslu, kiek tai numato Lietuvos Respublikos teisės aktai.

2.2. Bendrovė Asmens duomenis tvarko siekdama vykdyti ir (ar) sudaryti sutartis su Duomenų subjektu, gavusi Duomenų subjekto sutikimą Asmens duomenų tvarkymui, taip pat kai teisės aktuose numatyti įpareigojimai Bendrovei tvarkyti Asmens duomenis bei kai Asmens duomenis reikia tvarkyti dėl Bendrovės arba trečiosios šalies teisėto intereso (jei duomenų subjekto interesai nėra svarbesni). Asmens duomenys yra tvarkomi tokiu mastu, kiek būtina konkrečiai Asmens duomenų tvarkymo sąlygai.

2.3. Asmens duomenys Bendrovėje tvarkomi remdamasi tokiais principais:

2.3.1. Teisėtumo, skaidrumo ir sąžiningumo principas – Asmens duomenys tvarkomi teisėtai, sąžiningai, skaidriai, pagal teisės aktų reikalavimus. Tvarkant asmens duomenis yra saugomos Duomenų subjektų teisės.

2.3.2. Ribojimo pagal tikslą principas – Bendrovė Asmens duomenis renka ir tvarko tik Taisyklėse ir (ar) teisės aktuose nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir su šiais tikslais suderinamais būdais.

2.3.3. Minimalaus duomenų kiekio principas – Bendrovės renkami ir tvarkomi asmens duomenys yra tapatūs, tinkami ir tik tokios apimties kurios reikia siekiamiems tvarkymo tikslams įgyvendinti.

2.3.4. Tikslumo principas - Asmens duomenys yra tikslūs, jei reikia nuolat atnaujinami, o, paaiškėjus, kad Asmens duomenys netikslūs ar neišsamūs – ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas.

2.3.5. Tinkamo duomenų laikymo ir saugojimo principas – Asmens duomenys laikomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tikslams, dėl kurių Asmens duomenys buvo surinkti ir tvarkomi.

2.3.6. Asmens duomenų vientisumo ir konfidencialumo principas – Asmens duomenys tvarkomi tokiu būdu ir taikant tokias technines ar organizacines priemones, kad būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.

2.3.7. Atskaitomybės principas – Bendrovė imasi visų priemonių, kad būtų užtikrintas Taisyklių 2.3. punkte nurodytų principų laikymasis ir taikymas kasdienėje Bendrovės veikloje.

2.4. Taisyklių 2.1. punkte nurodytais tikslais, Bendrovė paprastai tvarko tokius atitinkamos kategorijos Duomenų subjektų Asmens duomenis:

2.4.1. Asmenų, pageidaujančių įsidarbinti Bendrovėje atrankos tikslais Bendrovė dažniausiai prašo pateikti CV/gyvenimo aprašymą/motyvacinį laišką, vardą, pavardę, gimimo datą, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą, išsilavinimą, esamos ar buvusios darbovietės (-čių) pavadinimą (-us), informaciją apie tai, kokį darbą pageidauja dirbti. Su Bendrovės prašoma pateikti informacija, kandidatai taip pat gali pateikti kitą papildomą informaciją apie save, įskaitant, bet neapsiribojant, rekomendaciją, motyvacinį laišką ir juose pateikiamą informaciją apie pretendento atliekamas/atliktas darbines funkcijas, kompetencijas, asmenines savybes, kandidatą rekomenduojančio asmens kontaktinius duomenis (elektroninį paštą, telefono ryšio numerį). Bendrovė tokios informacijos turinio negali įtakoti. Kandidatui pasirinkus pateikti tokius duomenis, jie tvarkomi taip pat kaip Bendrovės prašomi pateikti kandidato asmens duomenys.

2.4.2. Prekybos, įskaitant elektroninę prekybą tikslais Bendrovė tvarko tokiai veiklai vykdyti būtinus duomenis, kaip pavyzdžiui asmens vardą, pavardę, adresą, telefono numerį, elektorinio pašto adresą, lytį, gimimo datą, ar kitą kontaktinę informaciją, norimos įsigyti prekės modelio numerį, prekės atsiėmimo (parduotuvės) adresą, finansiniams dokumentams išrašyti reikalingą informaciją, garantiniam aptarnavimui teikti reikalingą informaciją.

2.4.3. Tiesioginės rinkodaros tikslu Bendrovė tvarko asmenų davusių sutikimą dėl jų Asmens duomenų tvarkymo tiesioginės rinkodaros tikslais ir klientų, duomenų rinkimo metu neprieštaravusių dėl tokio Asmens duomenų tvarkymo vardą, pavardę, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą, gyvenamosios ar patalpų vietos ypatumus: plotą, šildymo tipą, statybos metus, naudojamą kurą šildymui, namo/patalpų tipą ir pan.

2.4.4. Teikiamų pardavimo paslaugų, prekių grąžinimo ir prekių kokybės užtikrinimo tikslais, įskaitant ir galimybės pateikti užklausimą Bendrovės el. svetainės ir administruojamų socialinių tinklų lankytojams tikslu, Bendrovė tvarko vardą, pavardę, telefono ryšio numerį, elektroninio pašto adresą, kreipinį (ponas, ponia), žinutės tekstą, informaciją apie kliento atliktą pirkimą, įsigytos prekės ypatybes, prekių pirkimą patvirtinančius dokumentus.

2.4.5. Vaizdo stebėjimo tikslu Bendrovė tvarko asmenų, patenkančių į vaizdo stebėjimo lauką (klientų, vairuotojų, darbuotojų) vaizdo duomenis.

2.4.6. Darbuotojų darbo ir darbuotojų veiklos administravimo tikslais Bendrovė tvarko asmenų, dirbančių Bendrovėje, vardą, pavardę, gimimo datą, asmens kodo numerį, socialinio draudimo numerį, lytį, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą, atlyginimo dydį, vaikų skaičių, šeimyninę padėtį (vedęs, ištekėjusi, išsiskyręs) duomenis apie darbingumo lygį, duomenis apie nedarbingumą, išsilavinimą, kvalifikaciją, duomenis apie išieškojimą iš darbuotojo atlyginimo, duomenis apie darbuotojo šaukimą liudytoju, pareigų pavadinimą, atliekamas/atliktas darbines funkcijas, atostogas, komandiruotes, drausmines nuobaudas, atsiskaitomosios banko sąskaitos numerį, taip pat kitus asmens duomenis, kai teisės aktai įpareigoja Bendrovę juos tvarkyti.

2.5. Rinkti, tvarkyti, perduoti, saugoti, naikinti, ar kitaip naudoti Asmens duomenis gali tik įgalioti Bendrovės darbuotojai ir (ar) kiti įgalioti asmenys. Bendrovė draudžia savavališkai rinkti, tvarkyti, saugoti perduoti ar kitaip naudoti Duomenų subjektų duomenis, įskaitant bet neapsiribojant, naudoti Asmens duomenis tikslais, nesusijusiais su darbu (suteiktais įgaliojimais, jei veikiama ne pagal darbo sutartį).

2.6. Bendrovės, Duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko Asmens duomenis, privalo:

2.6.1. Saugoti Asmens duomenų paslaptį, jeigu šie Asmens duomenys neskirti skelbti viešai. Ši pareiga galioja perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams;

2.6.2. Laikytis Bendrovėje nustatytų duomenų apsaugos priemonių, taisyklių, instrukcijų ar tvarkų reikalavimų;

2.6.3. Tvarkyti Duomenų subjektų duomenis vadovaujantis Lietuvos Respublikos įstatymais, kitais teisės aktais ir šiomis Taisyklėmis;

2.6.4. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti Asmens duomenų;

2.6.5. Savarankiškai, be Bendrovės nurodymų ar ne pagal Bendrovės nurodymus, nekurti Asmens duomenų rinkmenų, duomenų bazių, prieigos taškų ar kitų panašių priemonių;

2.6.6. Nedelsiant pranešti Bendrovės vadovui ar jo paskirtam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Asmens duomenų saugumui.

3. ASMENS DUOMENŲ RINKIMO IR SAUGOJIMO SĄLYGOS
3.1. Asmens duomenys, surinkti pagal atitinkamas kategorijas saugomi tokiais terminais ir tvarka:

3.1.1. Duomenų subjektų, kandidatuojančių į konkrečią darbo vietą Asmens duomenys saugojami 1 mėnesį nuo paraiškų pateikimo laiko pabaigos. Duomenų subjektų, jų sutikimu įtrauktų į Bendrovės kandidatų duomenų bazę, Asmens duomenys saugojami 1 metus nuo įtraukimo momento (šis terminas apskaičiuojamas nuo sutikimo įtraukti į duomenų bazę davimo momento arba nuo duomenų pateikimo momento, jei duomenys perduodami vėliau, nei gaunamas sutikimas).

3.1.2. Prekybos, įskaitant elektroninę prekybą tikslais Asmens duomenys klientų užsakymo parduotuvėje administravimo tikslu tvarkomi nuo užsakymo pateikimo momento iki jo įvykdymo, bet ne ilgiau kaip 10 metų nuo užsakymo pateikimo momento, nebent aplinkybės lemtų ilgesnį duomenų tvarkymo terminą.

3.1.3. Tiesioginės rinkodaros tikslu Asmens duomenys tvarkomi 10 metų nuo sutikimo tvarkyti Asmens duomenis gavimo momento.

3.1.4. Teikiamų pardavimo paslaugų, prekių grąžinimo ir prekių kokybės užtikrinimo tikslais, įskaitant ir galimybės pateikti užklausimą Bendrovės el. svetainės, administruojamų socialinių tinklų lankytojams tikslu asmenų, pateikiančių užklausimą per internetinę svetainę, ar socialinius tinklus Asmens duomenys aktyvioje duomenų bazėje tvarkomi iki elektroninės užklausos ar numatyto atlikti veiksmo įvykdymo. Suėjus saugojimo aktyvioje duomenų bazėje terminui, Asmens duomenys perkeliami į pasyvią duomenų bazę. Pasyvioje duomenų bazėje Asmens duomenys tvarkomi 10 metų nuo elektroninės užklausos pateikimo ar numatyto atlikti veiksmo momento.

3.1.5. Vaizdo stebėjimo tikslu surinkti asmens duomenys (vaizdo duomenys) saugomi 7 kalendorines dienas nuo vaizdo užfiksavimo dienos, išskyrus atvejus, kai esama pagrindo manyti, kad yra užfiksuotas daromas nusikaltimas ar kiti neteisėti veiksmai (iki atitinkamo tyrimo ir/ar bylos nagrinėjimo pabaigos).

3.1.6. Asmenų, dirbančių Bendrovėje, Asmens duomenys saugojami teisės aktų (Lietuvos Respublikos darbo kodekso, mokesčių įstatymų ir kitų) nustatyta tvarka, taip pat Lietuvos vyriausiojo archyvaro rekomenduojamais dokumentų saugojimo terminais.

3.2. Asmens duomenys pagal atitinkamas kategorijas yra renkami tokiais būdais ir sąlygomis:

3.2.1. Asmens duomenis kandidatų į darbo vietą duomenų bazės administravimo tikslu Bendrovė gauna tiesiogiai iš Duomenų subjektų, kai šie siekia kandidatuoti į Bendrovės siūlomą darbo vietą ir savo valia pateikia savo Asmens duomenis tiesiogiai ar per įdarbinimo agentūras (kandidato pageidavimu agentūros pateikia kandidato CV, motyvacinį laišką), ar kandidato ankstesnės darbovietes (kandidato pageidavimu darbovietės pateikia buvusio arba esamo darbdavio rekomendaciją ir joje pateikiamą informaciją, pavyzdžiui, apie pretendento atliekamas ar atliktas darbines funkcijas, kompetencijas, asmenines savybes).

3.2.2. Asmens duomenis prekybos įskaitant elektroninę prekybą tikslu Bendrovė gauna tiesiogiai iš duomenų subjektų arba iš Duomenų subjektų nurodytų asmenų.

3.2.3. Asmens duomenis teikiamų pardavimo paslaugų ir prekių kokybės užtikrinimo tikslais Bendrovė gauna tiesiogiai iš duomenų subjektų.

3.2.4. Asmens duomenis tiesioginės rinkodaros tikslu Bendrovė gauna tiesiogiai iš Duomenų subjektų, Duomenų subjektams aiškiai išreiškus valią (sutikimą) gauti Bendrovės tiesioginės rinkodaros pasiūlymus, ar duomenų rinkimo metu neprieštaravusiems dėl tokio Asmens duomenų tvarkymo. Bendrovė, parduodama prekes, teisės aktų nustatyta tvarka gavusi iš savo klientų elektroninio pašto ir/ar telefono kontaktinius duomenis, gali naudoti šiuos kontaktinius duomenis Bendrovės panašių prekių ar paslaugų rinkodarai, jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę.

3.2.5. Vaizdo stebėjimo tikslu Asmens duomenys renkami ir saugomi kaip numatyta Taisyklių 7 skyriuje.

3.2.6. Asmenų dirbančių bendrovėje duomenis Bendrovė gauna Darbuotojų asmens duomenų tvarkymo ir saugojimo politikos apraše nustatyta tvarka.

3.3. Bendrovė tvarko tik Taisyklių 3.2. nurodytais būdais gautus Asmens duomenis. Duomenų subjektai laisva valia gali Bendrovei pateikti ir kitus Asmens duomenis, tačiau bet kokiu kitu būdu gauti Duomenų subjekto Asmens duomenys Bendrovėje nėra tvarkomi, ypač jei jie nesusiję ir nesuderinami su Taisyklių 2.1. punkte nurodytais Asmens duomenų tvarkymo tikslais, nebent jų negalima atskirti nuo Asmens duomenų, kuriuos Bendrovė tvarko. Tuomet tokie neatskiriami duomenys yra tvarkomi kaip ir kiti atitinkamos kategorijos Asmens duomenys.

3.4. Bendrovė Asmens duomenis tvarko, priklausomai nuo Asmens duomenų pateikimo formos ir Asmens duomenų pobūdžio. Pirmenybė teikiama elektroniniam duomenų tvarkymui. Bendrovei perkėlus Asmens duomenis į elektroninę erdvę, popieriniai asmens duomenų šaltiniai paprastai yra sunaikinami (išskyrus Prekių ir paslaugų užsakymo dokumentus, sąskaitas, lojalumo kortelių duomenis, darbuotojų duomenis bei informaciją kuri privalo būti saugoma pagal teisės aktus – kurie saugomi popierinėje formoje) , nebent teisės aktai įpareigotų juos saugoti.

3.5. Kai Asmens duomenų rinkimas grindžiamas asmens sutikimu, Bendrovė, prieš rinkdama Asmens duomenis gauna tokį sutikimą (duomenų subjektai, kurie pateikė savo iki šios tvarkos įsigaliojimo, informuojami papildomai apie atliekamą tvarkymą su galimybe prašyti ištrinti jų asmens duomenis ar atšaukti sutikimą juos tvarkyti) ir informuoja Duomenų subjektą apie jo teisę nesutikti, kad būtų tvarkomi jo Asmens duomenys arba atšaukti duotą sutikimą.

3.6. Bendrovė turi teisę Asmens duomenų tvarkymo veiksmams personalo atrankos, prekių pristatymo, informacinių sistemų priežiūros paslaugos, tiesioginės rinkodaros pranešimų siuntimo, buhalterijos tvarkymo, personalo administravimo, turto apsaugos ir kitais tikslais, suderinamais su Taisyklių 2.1. punkte nurodytais Asmens duomenų tvarkymo tikslais, pasitelkti Duomenų tvarkytojus (įdarbinimo ar personalo nuomos, aptarnavimo, buhalterinės apskaitos, konsultavimo, apsaugos ir pan. bendroves). Duomenų tvarkytojai atlieka Duomenų subjektų Asmens duomenų tvarkymo veiksmus, jiems pavestus rašytine sutartimi arba atskiru nurodymu, išskyrus atvejus, kai įstatymai ir kiti teisės aktai nustato kitaip. Bendrovės pasirinkti Duomenų tvarkytojai privalo garantuoti reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi.

3.7. Suėjus duomenų tvarkymo terminui Asmens duomenys sunaikinami Bendrovės dokumentuose ir teisės aktuose nustatyta tvarka arba įstatymų nustatyta tvarka perduodami į archyvą.

4. ASMENS DUOMENŲ SUBJEKTO TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
4.1. Duomenų subjektas turi: teisę žinoti apie Asmens duomenų tvarkymą, teisę susipažinti su Asmens duomenimis, teisę reikalauti juos ištaisyti, teisę reikalauti sunaikinti Asmens duomenis, teisę apriboti duomenų tvarkymą, teisę į duomenų perkeliamumą, teisę nesutikti su duomenų tvarkymu, teisę nebūti automatizuotai vertinamam ir profiliuojamam. Bendrovė užtikrina teisės aktuose nustatytas Duomenų subjektų teises.

4.2. Teisė žinoti apie Asmens duomenų tvarkymą ir susipažinti su Asmens duomenimis. Duomenų subjektas, turi teisę žinoti, kad jo Asmens duomenys yra tvarko, taip pat gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti.

4.3. Teisė reikalauti ištaisyti Asmens duomenis. Jeigu Duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jo Asmens duomenys yra neteisingi, neišsamūs ar netikslūs, Bendrovė, Duomenų subjekto rašytiniu prašymu, nedelsdama privalo ištaisyti tokius jo Asmens duomenis. Atsižvelgiant į Asmens duomenų tvarkymo tikslus, Duomenų subjektas gali prašyti papildyti neišsamius jo Asmens duomenis.

4.4. Teisė reikalauti sunaikinti asmens duomenis. Duomenų subjektas turi teisę prašyti ištrinti (sunaikinti) jo Asmens duomenis („teisė būti pamirštam“). Duomenys yra ištrinami jei jie nebereikalingi tikslams, kuriais jie buvo renkami arba tvarkomi, taip pat jei Duomenų subjektas atšaukia savo sutikimą tvarkyti Asmens duomenis arba nesutinka, kad jo Asmens duomenys būtų tvarkomi ir nėra kitų teisinių pagrindų, toliau tvarkyti Asmens duomenis. Duomenys taip pat sunaikinami, paaiškėjus, kad jie buvo tvarkomi neteisėtai arba jei Asmens duomenis ištrinti įpareigoja galiojantys teisės aktai, Bendrovei tenkančios teisinės prievolės, teismų sprendimai ar Bendrovei duoti privalomi institucijų nurodymai. Bendrovė gali netenkinti prašymo sunaikinti duomenis, jei egzistuoja teisiniai pagrindai, įpareigojantys Bendrovę toliau tvarkyti Asmens duomenis.

4.5. Teisė apriboti asmens duomenų tvarkymą. Duomenų subjektas gali prašyti apriboti jo Asmens duomenų tvarkymą, jei:

4.5.1.1. Duomenų subjektas ginčija Asmens duomenų tikslumą arba Duomenų subjektas nesutinka, kad jo be teisinio pagrindo tvarkyti Asmens duomenys būtų ištrinti, o prašo apriboti jų naudojimą;

4.5.1.2. Bendrovei Asmens duomenų nebereikia tais tikslais, kuriais jie buvo surinkti, tačiau jų reikia Duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

4.5.1.3. Duomenų subjektas prieštarauja Asmens duomenų tvarkymui, o Bendrovei reikia patikrinti ar nėra už šį prieštaravimą viršesnio teisėto intereso.

4.5.2. Duomenų subjekto prašymu apribojus jo Asmens duomenų tvarkymo veiksmus, tokie Asmens duomenys yra saugomi tol, kol bus ištaisyti, sunaikinti ar patikrintos tvarkymo veiksmų sustabdymo aplinkybės. Kiti nei saugojimas, tvarkymo veiksmai, su Asmens duomenimis gali būti atliekami tik turint tikslą įrodyti aplinkybes, dėl kurių Asmens duomenų tvarkymo veiksmai buvo sustabdyti arba jei Duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis, arba jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

4.5.3. Jei Bendrovė panaikina Asmens duomenų tvarkymo apribojimą, prieš jį panaikindama Bendrovė informuoja Duomenų subjektą ir nurodo tokio panaikinimo priežastis.

4.6. Teisė į duomenų perkeliamumą. Kai Asmens duomenų tvarkymas grindžiamas Duomenų subjekto sutikimu arba sutartimi, Duomenų subjektas turi teisę gauti su juo susijusius Asmens duomenis, kuriuos jis pateikė Bendrovei, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, jei tai techniškai įmanoma. Duomenų subjektas taip pat turi teisę prašyti persiųsti tokius duomenis kitam Duomenų valdytojui, jei tai techniškai įmanoma.

4.7. Teisė nebūti automatizuotai vertinamam ir profiliuojamam. Duomenų subjektas turi teisę nesutikti su jo Asmens duomenų automatizuotu tvarkymu, įskaitant profiliavimą. Gavusi tokį prašymą Bendrovė nustoja tvarkyti Asmens duomenis tokiais būdais, išskyrus atvejus, kai tai Bendrovei leidžia daryti ar ją įpareigoja teisės aktai, institucijų privalomi nurodymai, teismo sprendimai ar pan. Bendrovė taip pat gali taikyti automatizuotą duomenų tvarkymą ir profiliavimą, jei tokie veiksmai yra būtini siekiant sudaryti ar vykdyti sutartį tarp Duomenų subjekto ir Bendrovės, arba Duomenų subjektas davė aiškų sutikimą. Tokiais atvejais Duomenų subjektas gali prašyti ne automatizuotu būdu peržiūrėti automatizuoto duomenų tvarkymo ir profiliavimo rezultatus.

4.8. Tiesioginės rinkodaros ir dalyvavimo lojalumo programoje tikslais Duomenų subjektų duomenys tvarkomi tik gavus Duomenų subjekto sutikimą (išskyrus duomenų subjektus, kurie pateikė savo iki šios tvarkos įsigaliojimo, kurie informuojami papildomai apie atliekamą tvarkymą su galimybe prašyti ištrinti jų asmens duomenis ar atšaukti sutikimą juos tvarkyti). Duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję Asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tiesiogine rinkodara. Davęs sutikimą Duomenų subjektas turi teisę bet kada jį atšaukti. Atšaukus sutikimą Bendrovė duomenų tvarkymo veiksmus nutraukia nedelsiant, bet ne vėliau kaip per 5 darbo dienas.

4.9. Duomenų subjektas apie teisę nesutikti su Asmens duomenų tvarkymu, įskaitant ir teisę nesutikti, kad jo duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su Duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

4.10. Duomenų subjekto teisės įgyvendinamos gavus rašytinį jo prašymą, pateikiamą asmeniškai, paštu ar elektroninių ryšių priemonėmis. Kartu su prašymu Duomenų subjektas privalo pateikti Bendrovei ar Duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, išskyrus atvejus, kai rašytinis prašymas pateikiamas tiesiogiai Bendrovės darbuotojams ir prašymo pateikimo metu yra galimybė identifikuoti prašymą teikiantį Duomenų subjektą.

4.11. Bendrovės darbuotojų prašymai dėl jų Asmens duomenų tvarkymo sprendžiami remiantis Darbuotojų asmens duomenų tvarkymo ir saugojimo politikos aprašu.

4.12. Duomenų subjektų prašymus dėl tvarkomų Asmens duomenų priima ir Bendrovės registravimo ir valdymo žurnale užregistruoja Bendrovės įgaliotas darbuotojas (-ai). Darbuotojų paklausimai registruojami personalo dokumentų registravimo tvarka.

4.13. Jeigu Duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jo Asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į Bendrovę, Bendrovė nedelsdama privalo neatlygintinai patikrinti Asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdama sunaikinti neteisėtai ir nesąžiningai sukauptus Asmens duomenis ar sustabdyti tokių Asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

4.14. Atsakymai į Duomenų subjektų prašymus, susijusius su Asmens duomenimis, įskaitant ir rašytinį pranešimą apie nesutikimą dėl Asmens duomenų tvarkymo arba tokio sutikimo atšaukimą, pateikiami nedelsiant, bet ne vėliau kaip per 30 kalendorinių dienų nuo tokio prašymo ir visų su juo susijusių atsakymui parengti reikalingų dokumentų gavimo dienos. Jei tai būtina, iki išsprendžiant Duomenų subjekto prašymą, Bendrovė sustabdo Asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

4.15. Bendrovė Taisyklių ir teisės aktų nustatytais terminais bei tvarka:

4.15.1. Praneša Duomenų subjektui apie atliktą ar neatliktą Asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą;

4.15.2. Praneša Duomenų subjektui apie jo Asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus;

4.15.3. Patenkinusi Duomenų subjekto prašymą ištrinti, ištaisyti Asmens duomenis ar apriboti jų tvarkymą, informuoja kitus Duomenų gavėjus (jei tokie yra) apie Duomenų subjekto prašymą ir nurodo imtis pagrįstų, technines priemones atitinkančių veiksmų, kad tokie Duomenų gavėjai ištrintų visas nuorodas į Duomenų subjekto Asmens duomenis arba jų kopijas ar dublikatus. Toks pranešimas neteikiamas jei nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų.

4.16. Bendrovės tvarkomi Duomenų subjekto Asmens duomenys 1 kartą per kalendorinius metus duomenų subjektui teikiami neatlygintinai. Teikiant duomenis atlygintinai vadovaujamasi principu, kad atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Konkretų tokio atlyginimo dydį nustato Bendrovė, atsižvelgdama į paklausimo pobūdį, teiktinos informacijos apimtį ir panašias aplinkybes.

4.17. Kilus ginčui su Duomenų subjektu, Bendrovė informuoja jį apie galimybę pateikti skundą atitinkamai priežiūros institucijai.

5. ASMENS DUOMENŲ TEIKIMAS IR PRIEIGA PRIE ASMENS DUOMENŲ
5.1. Asmens duomenys šiose Taisyklėse nustatyta apimtimi ir tvarka gali būti teikiami tik Duomenų subjektui, taip pat kitiems Duomenų gavėjams, kai pagal sutartis, įstatymus, teismo sprendimus ir kitus teisės aktus Bendrovė yra įpareigota pateikti asmens duomenis.

5.2. Asmens duomenis teikia Bendrovės įgaliotas darbuotojas arba Duomenų tvarkytojas, apie duomenų teikimą ar atsisakymą pateikti Asmens duomenis padarydamas atitinkamą įrašą Bendrovės asmens duomenų operacijų registravimo ir valdymo žurnale. Vaizdo duomenys įrašomi ir pateikiami saugioje duomenų laikmenoje (CD, DVD, USB kt.). Duomenų gavėjai privalo atlyginti Bendrovei duomenų teikimo išlaidas.

5.3. Duomenų subjektui susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą (pavyzdžiui, transporto priemonės valstybinis numeris), šie vaizdai, jei tai yra techniškai įmanoma, turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis.

5.4. Duomenų tvarkymo veiksmus atlieka Bendrovės darbuotojai arba Bendrovės Duomenų tvarkytojas. Prieiga prie Asmens duomenų suteikiama tik Bendrovės įgaliotiems asmenims arba Bendrovės paskirtiems Duomenų tvarkytojams. Prieigą prie Asmens duomenų turintys atsakingi asmenys su Asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti jiems yra suteiktos teisės.

5.5. Bendrovė savo nuožiūra turi teisę bet kada paskirti/ pakeisti paskirtą Duomenų tvarkytoją.

5.6. Bendrovės darbuotojų, Duomenų tvarkytojų darbuotojų, turinčių teisę atlikti duomenų tvarkymo veiksmus, sąrašas pridedamas prie Taisyklių priedas Nr. 5.

6. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
6.1. Bendrovė arba jos įgaliotas atstovas, raštu, įskaitant ir elektroninę formą (Taisyklių priedas Nr. 6), atlieka Asmens duomenų tvarkymo veiklos įrašus, kuriuose nurodoma tokia informacija:

6.1.1. Bendrovės (jos atstovo, atsakingo už Asmens duomenų tvarkymą) vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

6.1.2. Duomenų apsaugos pareigūno (jei toks Bendrovėje paskirtas) vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

6.1.3. Duomenų tvarkymo tikslai;

6.1.4. Duomenų subjektų kategorijų ir Asmens duomenų kategorijų aprašymas;

6.1.5. Duomenų gavėjų, kuriems buvo arba bus atskleisti Asmens duomenys, įskaitant Duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

6.1.6. Jei Asmens duomenys perduodami į trečiąją valstybę, apsaugos priemonės taikomos tokiam perdavimui;

6.1.7. Atskirų kategorijų Asmens duomenų ištrynimo ir sunaikinimo terminai;

6.1.8. Asmens duomenų tvarkymui taikomų techninių ir organizacinių saugumo priemonių aprašymas;

6.2. Kai Asmens duomenų tvarkymui pasitelkiami Duomenų tvarkytojai, jie privalo atlikti Asmens duomenų tvarkymo veiklos įrašus, kuriuose nurodoma tokia informacija:

6.2.1. Duomenų tvarkytojo ar Duomenų tvarkytojų ir Bendrovės, taip pat Bendrovės ar Duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

6.2.2. Bendrovės vardu atliekamo duomenų tvarkymo kategorijos;

6.2.3. Jei duomenys perduodami į trečiąją valstybę, tokiam perdavimui taikomų tinkamų apsaugos priemonių dokumentai;

6.2.4. Duomenų tvarkymui taikomų techninių ir organizacinių saugumo priemonių aprašymas.

7. VAIZDO DUOMENŲ RINKIMAS, UŽRAŠYMAS, SAUGOJIMAS
7.1. Vaizdo stebėjimas Bendrovėje vykdomas siekiant užtikrinti nuosavybės teisės apsaugą, garantuoti turto saugumą ir neliečiamumą.

7.2. Bendrovėje vaizdo kameromis stebima prekybos salė, sandėlio patalpa, seifo patalpa. Vaizdo stebėjimo metu renkama ne daugiau vaizdo duomenų, negu tai yra būtina atsižvelgiant į Taisyklių 2.1.3. punkte nustatytą tikslą. Papildomai vaizdo medžiaga gali būti naudojama siekiant mokyti Bendrovės darbuotojus atpažinti asmenų ketinančių vykdyti nusikaltimus (vagystes iš parduotuvių), veiksmus siekiant užkardyti šią veiką.

7.3. Bendrovė, stebėdama vaizdą, automatiniu būdu tvarko asmenų, patenkančių į vaizdo stebėjimo lauką ir darbuotojų, dirbančių stebimose patalpose, vaizdo duomenis. Konkrečios parduotuvės stebėjimo duomenys on line rėžimu prieinami tik šios parduotuvės specialioje patalpoje, į kurią gali patekti tik Bendrovės darbuotojai.

7.4. Vaizdo kameros montuojamos taip, kad vaizdo stebėjimas būtų vykdomas ne didesnėje patalpų dalyje, negu tai yra būtina. Į vaizdo kamerų stebėjimo lauką negali patekti gyvenamosios patalpos ir/arba jai priklausanti privati teritorija arba įėjimas į ją, taip pat patalpos ar teritorija, kurioje duomenų subjektas tikisi absoliučios duomenų apsaugos, pavyzdžiui, persirengimo, poilsio, vonios, tualeto kambariai ir pan.

7.5. Techninės įrangos, kuriomis gaunami asmens duomenys (vaizdo kamerų) aptarnavimas, įskaitant, bet neapsiribojant gedimų šalinimu, pagal Bendrovės sudarytas sutartis deleguojamas tik sertifikuotiems ūkio subjektams.

7.6. Surinkti vaizdo duomenys saugomi vaizdo kameros kietajame diske (HDD) Bendrovės patalpose.

7.7. Patalpose, kuriose vykdomas vaizdo stebėjimas, Duomenų subjektai apie jų vaizdo duomenų tvarkymą informuojami prieš patenkant į vaizdo stebėjimo zoną.

7.8. Prie kiekvieno įėjimo į Bendrovės patalpas, kuriose vykdomas vaizdo stebėjimas, durų ir/ar kito aiškiai matomo objekto raštu pateikiama ši informacija: VYKDOMAS VAIZDO STEBĖJIMAS. UAB ,,GEDALEKSAS“, įmonės kodas 122907097, Pramonės g. 26, Vilnius.

7.9. Darbuotojų vaizdo stebėjimo sąlygas taip pat reglamentuoja Darbuotojų informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarkos aprašas. Visi Bendrovės darbuotojai, apie vykdomą vaizdo stebėjimą informuojami pasirašytinai kaip numatyta Darbuotojų informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarkos apraše.

8. ASMENS DUOMENŲ SAUGUMO TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS
8.1. Bendrovė ir (ar) Duomenų tvarkytojas, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas Asmens duomenų tvarkymo saugumo pažeidimo pavojų atitinkančio lygio saugumas. Asmens duomenų rizikos vertinimo sąlygos nustatytos Taisyklių priede Nr. 1.

8.2. Techninės ir organizacinės priemonės parenkamos atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairias tikimybes ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Šios priemonės apima, jei reikia pseudonimų suteikimą asmens duomenims ir jų šifravimą, gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą, gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju, reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą. Techninės ir organizacinės asmens duomenų tvarkymo priemonės yra aprašytos Taisyklių priede Nr. 2.

8.3. Asmens duomenų saugumo techninės ir organizacinės priemonės gali būti, o nustačius padidėjusią riziką – privalo būti keičiamos ir/ ar pildomos naujomis saugumo priemonėmis. Nustačius naujas asmens duomenų saugumo priemones, atitinkamai pakeičiamos/ papildomos Taisyklės.

8.4. Jeigu Bendrovė įgalioja Asmens duomenis tvarkyti Duomenų tvarkytoją, Duomenų tvarkytoju išrenkamas tik toks ūkio subjektas, kuris garantuotų teikiamas technines ir organizacines Asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

8.5. Nustatant tinkamo lygio saugumą atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

8.6. Bendrovės darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam Asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į Bendrovės atstovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.

8.7. Bendrovėje įvykus duomenų saugumo incidentui, apie duomenų saugumo incidentus, saugumo priemones, kurių imtasi siekiant apsaugoti Asmens duomenis, nedelsiant informuojama Bendrovės vadovai.

8.8. Avarijos atveju, Asmens duomenys, programinė įranga atstatomi iš atsarginių kopijų, jeigu atsarginės kopijos yra daromos.

8.9. Duomenų valdytojas, Duomenų tvarkytojai ir jų darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, privalo būti apmokyti tvarkyti asmens duomenis prieš Asmens duomenų tvarkymą.

8.10. Visi Duomenų valdytojo ir Duomenų tvarkytojo darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti asmens duomenis ir būti susipažinę su duomenų tvarkymo (valdymo) sistemomis ir asmens duomenų saugą reglamentuojančiais teisės aktais, prieš asmens duomenų tvarkymą.

8.11. Duomenų valdytojas ir Duomenų tvarkytojas reguliariai, esant poreikiui, inicijuoja darbuotojų, kuriems suteikta teisė tvarkyti Asmens duomenis, mokymą informacijos saugos klausimais. Už Duomenų tvarkytojo darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, supažindinimą su šių Taisyklių nuostatomis ir kitais asmens duomenų saugą įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas Duomenų tvarkytojas.

8.12. Bendrovė ir Duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris Bendrovei arba Duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su Asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai Bendrovė duoda nurodymus juos tvarkyti.

8.13. Jei diegiant naujas technologijas Bendrovėje, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, Bendrovė, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio Asmens duomenų apsaugai vertinimą. Bendrovė prieš pradėdamas tvarkyti duomenis, konsultuojasi su priežiūros institucija, jeigu poveikio duomenų apsaugai vertinime nurodyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.

9. PRANEŠIMAI APIE DUOMENŲ SAUGUMO PAŽEIDIMUS
9.1. Jei Bendrovė nustato, kad Asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, Bendrovė nedelsdama, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie Asmens duomenų saugumo pažeidimą, informuoja priežiūros instituciją. Jeigu priežiūros institucijai apie Asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

9.2. Pranešime priežiūros institucijai pateikiama ši informacija:

9.2.1. Asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų Duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų Asmens duomenų įrašų kategorijas ir apytikslį skaičių;

9.2.2. Nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

9.2.3. Tikėtinos Asmens duomenų saugumo pažeidimo pasekmės;

9.2.4. Priemonės, kurių ėmėsi arba siūlo imtis Bendrovė, kad būtų pašalintas Asmens duomenų saugumo pažeidimas, įskaitant priemones galimoms neigiamoms jo pasekmėms sumažinti;

9.2.5. Kita reikšminga informacija.

9.3. Jeigu Taisyklių 9.2. punkte informacijos neįmanoma pateikti iš karto, informacija, nepagrįstai nedelsiant, gali būti teikiama etapais.

9.4. Bendrovė įpareigoja, kad Duomenų tvarkytojai, sužinoję apie Asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdami apie tai praneštų Bendrovei.

9.5. Bendrovė dokumentuoja visus Asmens duomenų saugumo pažeidimus, įskaitant su Asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.

9.6. Kai dėl Asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų Bendrovė nedelsdama praneša apie Asmens duomenų saugumo pažeidimą Duomenų subjektui. Tokiame pranešime Duomenų subjektui aiškia ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama informacija apie taikomas ar ketinamas taikyti pažeidimo pašalinimo, padėties atkūrimo ir Duomenų subjekto teisių užtikrinimo priemones. Toks pranešimas nėra siunčiamas, jei:

9.6.1. Bendrovė iš karto po pažeidimo įgyvendino tinkamas technines ir organizacines apsaugos priemones, apsaugančias Duomenų subjektų teises ir laisves;

9.6.2. Bendrovė vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegrėstų didelis pavojus Duomenų subjektų teisėms ir laisvėms;

9.6.3. Pranešimo siuntimas pareikalautų neproporcingai daug pastangų. Tokiu atveju apie pažeidimą yra viešai paskelbiama arba taikoma panaši priemonė, kuria Duomenų subjektai būtų efektyviai informuojami.

9.7. Jeigu Bendrovė nepranešė Duomenų subjektui apie Asmens duomenų saugumo pažeidimą, o priežiūros institucija nusprendžia, kad toks pranešimas yra reikalingas, Bendrovė informuoja Duomenų subjektus apie pažeidimą taip, kaip nurodyta šiose Taisyklėse.

10. KONFIDENCIALUMO NUOSTATOS
10.1. Bendrovė (jos darbuotojai ir (ar) įgalioti asmenys) turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.

10.2. Konfidencialumo principo darbuotojai ir (ar) turi laikytis ir pasibaigus darbo santykiams ir (ar) įgaliojimams (sutarčiai ar pan.) pagal kuriuos asmuo veikė. Konfidencialumo pareiga galioja ir darbuotojui ir (ar) įgaliotam asmeniui pakeitus veiklos funkcijas Bendrovėje. Konfidencialumo principas taip pat reiškia, kad asmenims, tvarkantiems asmens duomenis, be Bendrovės sutikimo draudžiama juos atskleisti, gavus trečiųjų šalių prašymus dėl tokio atskleidimo.

10.3. Asmenys laikomi pažeidusiais konfidencialumo įsipareigojimą kai jie veikė tiek ne pagal Bendrovės nurodymus, tiek be jos nurodymo.

10.4. Bendrovės darbuotojai ir (ar) įgalioti asmenys su konfidencialumo įsipareigojimu supažindinami pasirašytinai, jei reikalinga, su šiais asmenimis sudaromi konfidencialumo susitarimai.

11. ATSAKOMYBĖ
11.1. Visi šiose Taisyklėse nurodyti ir/ar Bendrovės paskirti darbuotojai, turintys teisę prieiti prie Asmens duomenų ir juos tvarkyti už neteisėtus, šioms Taisyklėms, prieštaraujančius veiksmus atsako Asmens duomenų apsaugos įstatymo, Lietuvos Respublikos civilinio kodekso, Lietuvos Respublikos darbo kodekso bei kitų teisės aktų nustatyta tvarka.

11.2. Už tinkamo ir teisėto Asmens duomenų tvarkymo kontrolę Bendrovėje atsakingas Bendrovės įgaliotas darbuotojas.

11.3. Šiose Taisyklėse nurodytas ir/arba Bendrovės paskirtas specialistas, atsakingas už duomenų apsaugos kontrolę, neatlieka Asmens duomenų administratoriaus funkcijų.

UAB „GEDALEKSAS“ asmens duomenų tvarkymo taisyklių priedas Nr. 1

ASMENS DUOMENŲ TVARKYMO RIZIKOS VERTINIMAS

1.1. Bendrovė reguliariai, esant poreikiui, organizuoja Asmens duomenų tvarkymo rizikos vertinimą. Prireikus, Bendrovė gali organizuoti neeilinį duomenų tvarkymo rizikos veiksnių vertinimą. Asmens duomenų tvarkymo rizikos vertinimą gali atlikti Bendrovės įgaliotas Duomenų tvarkytojas.

1.2. Asmens duomenų tvarkymo rizikos vertinimas surašomas rizikos įvertinimo ataskaitoje, kuris pateikiamas Bendrovėje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus:

1.2.1. Subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas asmens duomenų teikimas, fiziniai asmens duomenų tvarkymo bazių, sistemų ir technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

1.2.2. Subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenų bazėmis, sistemomis asmens duomenims gauti, asmens duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

1.2.3. Veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte.

1.3. Asmens duomenų tvarkymo rizikos veiksniai vertinami nustatant jų įtakos Asmens duomenų saugai laipsnius:

1.3.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atstatyti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

1.3.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atstatyti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

1.3.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos, neveikia visa duomenų bazė, asmens duomenų tvarkymo sistema.

1.4. Asmens duomenų tvarkymo rizikos vertinimo metu atliekami darbai:

1.4.1. tvarkomų asmens duomenų išteklių inventorizacija;

1.4.2. įtakos duomenų bazei, duomenų tvarkymo sistemos veiklai vertinimas;

1.4.3. grėsmės ir pažeidimų analizė;

1.4.4. liekamosios rizikos vertinimas.

1.5. Bendrovė, atsižvelgdama į Asmens duomenų tvarkymo rizikos įvertinimo ataskaitą, prireikus, tvirtina Asmens duomenų tvarkymo rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis duomenų bazių, duomenų tvarkymo sistemos bei Asmens duomenų tvarkymo rizikos valdymo priemonėms įgyvendinti.

1.6. Pagrindiniai Asmens duomenų saugos priemonių parinkimo principai yra šie:

1.6.1. Liekamoji rizika turi būti sumažinta iki priimtino lygio;

1.6.2. Duomenų saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei.

1.7. Kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės asmens duomenų saugos priemonės.

UAB „GEDALEKSAS“ asmens duomenų tvarkymo taisyklių priedas Nr. 2

ASMENS DUOMENŲ SAUGUMO PRIEMONIŲ SĄRAŠAS

Priemonės, uždraudžiančios neteisėtą Asmens duomenų įvedimą, peržiūrą, atskleidimą, teikimą, pakeitimą arba sunaikinimą:

1.1. Užtikrinama prieigos prie Asmens duomenų apsauga, valdymas ir kontrolė – Asmens duomenis gali peržiūrėti ir su jais dirbti tik asmenys, kuriems Bendrovė yra suteikusi tokią teisę (leidimą).

1.2. Kiekvienam darbuotojui, kuriam suteikta prieiga prie asmens duomenų, tvarkomų automatiniu būdu, turi būti suteiktas unikalus prisijungimo vardas ir vienkartinis slaptažodis, kurį pirmo prisijungimo metu privalu pasikeisti į nuolatinį slaptažodį. Nuolatinis slaptažodis turi būti unikalus ir negali būti trumpesnis nei 8 simbolių nenaudojant asmeninio pobūdžio informacijos. Slaptažodis keičiamas ne rečiau kaip kartą per 2 (du) mėnesius. Slaptažodis negali kartotis su ankščiau naudotais slaptažodžiais.

1.3. Darbuotojas yra atsakingas už slaptažodžio konfidencialumą ir įsipareigoja jo neatskleisti tretiesiems asmenims.

1.4. Naudotojų prisijungimo prie kompiuterio, kompiuterių tinklo ar duomenų bazės slaptažodžiai saugomi šifruoti, užtikrintas slaptažodžių konfidencialumas, nustatytas leistinų nepavykusių bandymų prisijungti prie duomenų bazės skaičius.

1.5. Įdiegtos apsaugos priemonės nuo neteisėto prisijungimo prie Bendrovės vidinio tinklo.

1.6. Tik Bendrovės darbuotojai ar įgalioti asmenys gali patekti į Bendrovės administracines patalpas bei dirbti su renkamais duomenimis. Darbuotojai ir kiti asmenys, tiesiogiai dirbantys su Asmens duomenimis, yra pasirašę įsipareigojimus saugoti asmens duomenų paslaptį.

1.7. Bet kokiu būdu keisti asmens duomenis gali tik turintys tam teisę Bendrovės darbuotojai ir (ar) įgalioti asmenys, pasirašę įsipareigojimus dėl asmens duomenų paslapties saugojimo ir prisijungę su savo slaptažodžiu prie duomenų bazės.

2. Priemonės, užtikrinančios vartotojų ribotą prieigą ir fiksuojančios prisijungimo prie sistemos bei duomenų perdavimo veiksmus ir duomenis tvarkiusį asmenį:

2.1. Bendrovės įgalioti darbuotojai užtikrina, kad Bendrovėje nepertraukiamai yra naudojamos saugumo priemonės, kurios: leidžia apsaugoti duomenų bazes nuo neteisėto prisijungimo elektroninių ryšių priemonėmis, fiksuoti ir kontroliuoti registravimosi bei teisių gavimo pastangas, nustatyti leistinų nepavykusių bandymų prisijungti prie duomenų bazės(-ių) skaičių.

2.2. Sistemos vartotojui suteikiamos konkrečios teisės, susijusios su duomenų peržiūra, jų įrašymu, keitimu, perdavimu ir pan.

2.3. Fiksuojami vartotojų veiksmai, kontroliuojamas darbuotojų ir trečiųjų asmenų prisijungimas prie vidinio tinklo, nustatyta prisijungimo tvarka, kontroliuojama prisijungusių asmenų teisė naudotis programine įranga.

2.4. Duomenys atsiranda duomenų bazėje įrašinėjant bylas per duomenų bazę. Kiekvienas veiksmas (įrašymas, pakeitimas, ištrynimas) yra fiksuojamas statistikos faile nurodant vartotojo prisijungimo vardą, laiką, naudojant istorinio žurnalo priemones, arba duomenų įvedimas įvykdomas tiesiogiai į serverį ir tai atlieka tik Bendrovės darbuotojai ar įgalioti asmenys, pasirašę įsipareigojimus saugoti asmens duomenų paslaptį;

2.5. Prisijungusių prie asmens duomenų bazės vartotojų veiksmai yra fiksuojami duomenų bazėje. Užfiksuotų veiksmų duomenyse yra tokia informacija: vartotojas, veiksmo data-laikas, veiksmo aprašymas, naudotos techninės priemonės (IP adresas, naršyklės tipas), kita informacija. Prisijungimo prie duomenų bazės įrašai saugomi 12 mėnesių.

3. Priemonės, užtikrinančios saugumo pažeidimų valdymą bei reagavimo į šiuos pažeidimus veiksmai:

3.1. Bendrovės įgalioti darbuotojai užtikrina, kad kompiuteriuose, tame tarpe ir nešiojamuose kompiuteriuose, kai jie naudojami tiek asmens duomenų valdytojo vidiniame, tiek ne vidiniame duomenų perdavimo tinkle, esantys asmens duomenys turi būti apsaugoti tokiomis apsaugos priemonėmis, kurios atitiktų duomenų tvarkymo keliamą riziką.

3.2. Duomenų perdavimo tinklo įranga prižiūrima pagal gamintojo rekomendacijas, priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai, veikia duomenų perdavimo tinklo valdymo programos, stebima duomenų perdavimo tinklo būklė.

3.3. Kompiuterių techninė įranga prižiūrima pagal gamintojo rekomendacijas, priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai, svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima.

3.4. Bendrovės įgalioti asmenys ar darbuotojai, dirbantys su asmens duomenų bazėmis, pastebėję bet kokią grėsmę asmens duomenų saugumui, įskaitant, bet neapsiribojant, įsilaužiamus į asmens duomenų bazę, Bendrovės darbuotojų kompiuterius, virusų atsiradimą ir panašiai, nedelsiant privalo pranešti už asmens duomenų apsaugą atsakingam Bendrovės darbuotojui.

4. Duomenų atkūrimo jų avarinio praradimo atvejais tvarka, atsarginių kopijų darymo ir saugojimo tvarka:

4.1. Programinė įranga neleidžia vartotojams visiškai ištrinti duomenų, veikia atsarginės tarnybinės stotys su duomenų laikmenomis, duomenų laikmenų sunaikinimą apsaugo programos, numatyta ir patikrinama duomenų atstatymo iš atsarginių laikmenų procedūra.

4.2. Avarinio asmens duomenų praradimo atveju asmens duomenys nedelsiant atkuriami iš atsarginių saugomų asmens duomenų kopijų, patalpintų atsarginių kopijų saugojimo serveryje. Registruojama, kada ir kas vykdė duomenų atkūrimo veiksmus dėl avarinio duomenų praradimo.

4.3. Ne rečiau kaip kartą per 24 val. daromos duomenų bazėje esančių failų su asmens duomenimis kopijos (backup), kurios saugomos atsarginių kopijų saugojimo serveryje, apsaugotame šifruotu slaptažodžiu. Už savalaikį kopijavimą yra atsakingas įgaliotas asmuo arba darbuotojas. Praradus ar sunaikinus šias kopijas, atsakingas darbuotojas turi ne vėliau kaip per 7 (septynias) darbo dienas atstatyti duomenis.

5. Kitos organizacinės ir techninės duomenų saugumo priemonės:

5.1. Į Bendrovės patalpas, kuriose yra saugomi asmens duomenys, patenka tik Bendrovės įgalioti asmenys. Bendrovės įgalioti asmenys, nesantys Bendrovės darbuotojais, į nurodytas patalpas patenka tik kartu su įgaliotu Bendrovės darbuotoju. Klientai į patalpas, kuriose yra saugomi Asmens duomenys, patenka tik kartu su darbuotoju, turinčiu darbuotojo pažymėjimą.

5.2. Bendrovės darbuotojai, kuriems šių Taisyklių arba Bendrovės įsakymo pagrindu suteikta prieiga prie Asmens duomenų, privalo laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas.

5.3. Naudojama sertifikuota programinė įranga ir ji atnaujinama laikantis nustatytos tvarkos, pakeista programinė įranga yra testuojama.

5.4. Tarnybinėse stotyse įdiegtos elektroninio pašto sistemų antivirusinės programos, antivirusinės programos įdiegtos darbo stotyse.

5.5. Bendrovė savo nuožiūra užtikrina kitas būtinas organizacines ir technines duomenų saugumo priemones, įskaitant, bet neapsiribojant, fizinę saugą (tarnybinės stotys yra atskirose patalpose, patalpos rakinamos, naudojamos signalizacijos sistemos, patalpose, kuriose yra tarnybinės stotys, įrengti dūmų, karščio davikliai, fizinė asmenų patekimo į patalpas kontrolės sistema, kt.), tinkamą kompiuterinės įrangos naudojimą ir priežiūrą (darbui su duomenimis naudojama sertifikuota programinė įranga, naudojama programinė įranga, apsaugota nuo visiško duomenų sunaikinimo, veiksmai su duomenimis atliekami tik pagal suteiktas teises, naudojama antivirusinė programa, kt.), kitas priemones (naudojami nenutrūkstančio maitinimo šaltiniai (UPS) svarbiausiai kompiuterinei įrangai, nešiojamuose kompiuteriuose, jeigu jie naudojami ne Bendrovės vidiniame duomenų perdavimo tinkle, naudojamos tokios duomenų saugumo priemonės, kurios atitinka duomenų tvarkymo keliamą riziką, kt.).


Bankiniu pavedimu