Asmens duomenų saugumo taisyklės

Patvirtinta:

UAB „Ferona“ 2018-04-27

direktoriaus įsakymu Nr. 18-10

UAB „Ferona“

Juridinio asmens kodas 134133414

 

ASMENS DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO IR PRAŠYMŲ NAGRINĖJIMO TAISYKLĖS

 

I.   BENDROSIOS NUOSTATOS

 

1.   Šios Asmens duomenų subjektų teisių įgyvendinimo ir prašymų nagrinėjimo tvarkos taisyklės (toliau – Taisyklės) reglamentuoja duomenų subjektų teises, jų įgyvendinimo tvarką, prašymų teikimo ir jų nagrinėjimo tvarką.

2.   Šio Taisyklės parengtos vadovaujantis Bendruoju duomenų apsaugos Reglamentu (ES) 2016/679 (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – Įstatymas) ir kitais teisės aktais. Taisyklės taikomos kartu su Privatumo politika.

3.   Taisyklės yra prieinamos viešai (interneto svetainėje ar kt.) arba išsiunčiamos duomenų subjektui el. paštu ar registruotu paštu.

4.   Taisyklėse vartojamas terminas „Bendrovė“ reiškia asmens duomenų valdytoją UAB „Ferona“, juridinio asmens kodas 134133414.

5.   Duomenų subjektas – reiškia fizinį asmenį, iš kurio Bendrovė gauna ir tvarko asmens duomenis.

6.   Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta, pasinaudojant tokiais duomenimis kaip vardas, pavardė, gimimo data, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

7.   Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente, Įstatyme ir kituose teisės aktuose.

II.   DUOMENŲ SUBJEKTO TEISĖS

8.   Duomenų subjektas turi šias pagrindines teises:

1)  sužinoti apie jo asmens duomenų tvarkymą (būti informuotas);

2)  susipažinti su savo jo tvarkomais asmens duomenimis;

3)  sužinoti kokiu tikslu ir pagrindu yra tvarkomi jo asmens duomenys;

4)  reikalauti ištaisyti ir pakeisti jo asmens duomenis;

5)  apriboti jo duomenų tvarkymą (neleisti tvarkyti kurio nors duomens), išskyrus tuos asmens duomenis, kurie privalo būti tvarkomi teisės aktų nustatyta tvarka;

6)  teisę būti pamirštam, kuri reiškia teisę reikalauti sunaikinti jo asmens duomenis, išskyrus tuos, kurie privalo būti saugomi teisės aktų nustatytą laiką;

7)  nesutikti, kad asmens duomenys būtų tvarkomi;

8)  teisę į duomenų perkeliamumą, kuris pasireiškia tuo, jog a) turi teisę reikalauti gauti visus susijusius su juo asmens duomenis, kuriuos jis pateikė Bendrovei, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu (pvz., PDF ar kt. formatais), arba b) persiųsti tuos duomenis kitam duomenų valdytojui (jeigu tai techniškai įmanoma); ši teisė gali būti įgyvendinta tik dėl asmens duomenų, kurie tvarkomi elektroninėmis priemonėmis, ir yra gauti iš pačio duomenų subjekto sutikimo ar sutarties pagrindu;

9)  kitas teisės aktų nustatytas teises.

III.   DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

9.   Duomenų subjektai siekdami įgyvendinti savo teises, numatytas Taisyklių II dalyje, turi asmeniškai, paštu, per pasiuntinį ar el. paštu pateikti rašytinį prašymą (toliau - Prašymas) Bendrovei.

10.   Prašymą pateikiantis duomenų subjektas privalo patekti pateikti asmens tapatybę patvirtinantį dokumentą arba Lietuvos Respublikos teisės aktų nustatyta tvarka patvirtintą kopiją. Prašymas pradedamas nagrinėti tik tuo atveju, kai Bendrovė identifikuoja Prašymą pateikusio asmens tapatybę.

11.   Prašymas privalo būti pasirašytas duomenų subjekto. Bendrovė siekdama apsaugoti duomenų subjektų asmens duomenis, nenagrinėjama anoniminių prašymų ir asmens, kurio tapatybė nebuvo patvirtinta pagal galiojančius asmens tapatybės dokumentus.

12.   Jeigu prašymas neatitinka anksčiau nurodytų reikalavimų, tai jis nenagrinėjamas. Tačiau asmuo minimaliomis sąnaudomis turėtų būti informuojamas, kad prašymas gali būti nagrinėjamas, jeigu bus nustatyta jį pateikusios asmens tapatybė (pvz., el. laišku ar telefonu).

IV.   DUOMENŲ SUBJEKTŲ PRAŠYMŲ NAGRINĖJIMO TVARKA

13.   Bendrovė gavusi duomenų subjekto Prašymą privalo:

1)  Prašymą išnagrinėti ir atsakymą duomenų subjektui Prašyme nurodytu būdu pateikti ne vėliau kaip per vieną mėnesį nuo Prašymo gavimo dienos;

2)  Nurodytas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams dėl objektyvių priežasčių (prašymo sudėtingumo, duomenų didelio kiekio, užimtumo ir pan.). Bendrovės turi informuoja Prašymą pateikusį duomenų subjektą apie tokį pratęsimą ir nurodyti pratęsimo priežastis.

3)  Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, atsakymas ir informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitu būdu.

14.   Jei Bendrovė nesiima veiksmų pagal duomenų subjekto prašymą, Bendrovė nedelsdama, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone.

15.   Bendrovė prašymus nagrinėja ir atsakymus su informacija pateikia visiškai neatlygintinai.

16.   Jeigu asmuo pateikia tapatų ar aiškiai nepagrįstą prašymą, tai jis nenagrinėjamas. Tapačiu prašymas laikomas, kai prieš 3 mėnesius ar anksčiau, skaičiuojant nuo galutinio atsakymo išsiuntimo, buvo išnagrinėtas iš esmės tokio pačio turinio prašymas arba yra kitų pagrįstų priežasčių prašymą laikyti tapačiu. Aiškiai nepagrįstu laikomas toks prašymas, kuris negali būti įgyvendinamas, nes prieštarauja bendram protingumui ar teisės aktų reikalavimams arba yra kitų pagrįstų priežasčių prašymą laikyti aiškiai nepagrįstu.

17.   Bendrovė įgyvendindama Taisyklių 8 punkto 1-3 papunkčiuose nurodytas teises turi pateikti prašomą informaciją.

18.   Bendrovė įgyvendindama Taisyklių 8 punkto 4 papunktyje nurodytą teisę turi patikrinti pateikusio Prašymą duomenų subjekto asmens duomenis ir ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir informuoti apie tai duomenų subjektą.

19.   Bendrovė įgyvendindama Taisyklių 8 punkto 5 papunktyje nurodytą teisę turi sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus tuos asmens duomenis, kurie privalo būti tvarkomi ir saugomi teisės aktų nustatyta tvarka. Sustabdžiusi duomenų subjekto Prašymu jo asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugoti tol, kol jie bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti ar duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis, ar reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

20.   Bendrovė įgyvendindama Taisyklių 8 punkto 6 papunktyje nurodytą teisę turi sunaikinti visus asmens duomenis, išskyrus tuos, kurie privalo būti saugomi teisės aktų nustatytą laiką arba yra reikalingi Bendrovei dėl teisėtų tikslų.

21.   Bendrovė įgyvendindama Taisyklių 8 punkto 7 papunktyje nurodytą teisę turi:

1)  prašymą įvykdyti, jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas. Tokiu atveju Įmonė nedelsdama neatlygintinai nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus.

2)  Nedelsdama pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti asmens duomenų tvarkymo veiksmus. Prašymas gali būti netenkinamas įstatymų nustatytais atvejais, kai reikia užtikrinti: a) valstybės saugumą ar gynybą; b) viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą; c) svarbius valstybės ekonominius ar finansinius interesus; d) tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą; e) duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

22.   Bendrovė įgyvendindama Taisyklių 8 punkto 8 papunktyje nurodytą teisę, priklausomai nuo to, ko duomenų subjektas prašo, turi: a) parengti duomenų subjekto asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu (pvz., PDF ar kt. formatais) ir pateikti juos duomenų subjektui, kad jis galėtų jais laisvai naudoti asmeninėms reikmėms; arba b) persiųsti asmens duomenis kitam duomenų valdytojui (jeigu tai techniškai įmanoma). Po asmens duomenų perkėlimo, Bendrovė gali saugoti tuo asmens duomenis, kuriuos privalo saugoti pagal teisės aktų reikalavimus, arba jei jie reikalingi dėl teisėto tikslo ir intereso (pvz., apginti savo teises dėl paslaugų teikimo ir pan.) pagal nustatytus saugojimo terminus.

23.   Bendrovė gali susiaurinti duomenų subjektui pateikiamos informacijos apimtį jeigu dėl to būtų neišvengiamai atskleisti kito asmens duomenys arba jeigu būtų pažeisti Bendrovės teisėti interesai (atskleistos komercinės paslaptys, intelektinė nuosavybė ir pan.). Bendrovė šiais atvejais privalo pateikti duomenų subjektui informacijos susiaurinimo motyvus ir nurodyti apskundimo tvarką.

24.   Jeigu Bendrovė atsisako įgyvendinti šiose Taisyklėse nurodytą asmens teise (-es), tai privalo pateikti duomenų subjektui atsisakymo motyvus ir nurodyti apskundimo tvarką.

25.   Duomenų subjektas turi teisę skųsti Bendrovės veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai.

26.   Bendrovė, įgyvendindama duomenų subjekto teises, privalo užtikrinti, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą ir kitas teises.

V.   PRAŠYMUS NAGRINĖJANTIS IR ATSAKYMUS TEIKIANTIS ASMUO

27.   Duomenų subjektas prašymus gali teikti Bendrovei. Prašymas yra perduodamas nagrinėti Bendrovės darbuotojui, atsakingam už asmens duomenų apsaugą, arba duomenų apsaugos pareigūnui.

VI.   BAIGIAMOSIOS NUOSTATOS

28.   Visi Bendrovės darbuotojai su šiomis Taisyklėmis privalo susipažinti pasirašytinai.

29.   Šių Bendrovės patvirtintų Taisyklių kopija, elektroninė versija ar jos aktualus tekstas patalpinamas į Bendrovės internetinę svetainę