UAB „AVEPLAST“

PATVIRTINTA

UAB „Aveplast“ direktoriaus

2018 m. spalio mėn. 24 d. įsakymu Nr. T-18-12

UAB „AVEPLAST“

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I. SĄVOKOS

sąvokos:

1. Pagrindinės Asmens duomenų tvarkymo taisyklėse (toliau – Taisyklės) naudojamos

1.1. ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

1.2. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta

arba kurio tapatybę galima nustatyti;

1.3. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;

1.4. Duomenų subjektas – fizinis asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

1.5. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

1.6. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

1.7. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones

1.8. Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

1.9. Reglamentas – Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. Reglamentas (ES) 2016/679.

1.10. Subtvarkytojas – duomenų tvarkytojo pasitelktas kitas išorinis duomenų tvarkytojas, kuris, vykdydamas jam patikėtas paslaugų teikimo funkcijas, tvarkys asmens duomenis duomenų valdytojo vardu;

1.11. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų;

1.12. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje.

1.13. VDAI – Valstybinė duomenų apsaugos inspekcija;

1.14. kitos sąvokos kaip jos apibrėžtos Reglamente, ADTAĮ ir kituose teisės aktuose, reguliuojančiuose asmens duomenų tvarkymą ir apsaugą.

II. BENDROSIOS NUOSTATOS

2. UAB „Aveplast“ (toliau – Bendrovė) Taisyklės nustato fizinių asmenų asmens duomenų tvarkymo tikslus, pagrindus, duomenų subjektų kategorijas, asmens duomenų kategorijas, asmens duomenų perdavimo tretiesiems asmenims sąlygas, asmens duomenų saugojimo terminus, asmens

duomenų sunaikinimo sąlygas, apribojimus ir tvarką, duomenų subjektų teises, organizacines ir technines asmens duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojų pasitelkimo tvarką ir Bendrovės santykį su duomenų tvarkytojais, duomenų tvarkymo veiklos įrašų turinį ir rengimo tvarką, darbuotojų, tvarkančių asmens duomenis, atsakomybę.

3. Taisyklių tikslas – užtikrinti tinkamą asmens duomenų tvarkymą ir apsaugą, fizinių asmenų privataus gyvenimo neliečiamumo teisę, apsaugoti fizinių asmenų pagrindines teises ir laisves, susijusias su jų asmens duomenų tvarkymu.

4. Taisyklės taikomos tvarkant asmens duomenis automatiniu ir neautomatiniu būdu.

5. Taisyklių reikalavimai privalomi visiems Bendrovės darbuotojams, kurie tvarko Bendrovės asmens duomenis arba eidami savo pareigas juos sužino.

III. ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

6. Bendrovė tvarkydama asmens duomenis vadovaujasi Reglamente įtvirtintais, su asmens duomenų tvarkymu susijusiais principais:

6.1. teisingumo ir sąžiningumo principu – asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtu ir sąžiningu būdu;

6.2. skaidrumo principu – informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba;

6.3. tikslo apribojimo principu – asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;

6.4. duomenų kiekio mažinimo principu – asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

6.5. tikslumo principu – asmens duomenys turi būti tikslūs ir prireikus atnaujinami;

6.6. saugojimo trukmės apribojimo principu – asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

6.7. vientisumo ir konfidencialumo principu – asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

6.8. atskaitomybės principu – Bendrovė yra atsakinga už tai, kad būtų užtikrintas tinkamas asmens duomenų saugumas, asmens duomenys būtų tvarkomi teisėtai, būtų užtikrinamos duomenų subjektų teisės.

IV. BENDROVĖS FUNKCIJOS, TEISĖS IR PAREIGOS

7. Bendrovė atlieka šias funkcijas:

7.1. glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikia informaciją savo duomenų subjektams apie vykdomą jų asmens duomenų tvarkymą nuo duomenų subjektų asmens duomenų gavimo momento.Ypatingas dėmesys dėl informacijos teikimo turi būti skiriamas nepilnamečiams iki 16 metų, kadangi šios kategorijos duomenų subjektai gali nesuprasti jų asmens duomenų tvarkymo reikšmės;

7.2. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

7.3. teikia metodinę pagalbą darbuotojams asmens duomenų tvarkymo tikslais;

7.4. organizuoja darbuotojų mokymus asmens duomenų tvarkymo ir apsaugos klausimais;

7.5. užtikrina duomenų subjektų tinkamą teisių įgyvendinimą;

7.6. diegia organizacines ir technines asmens duomenų apsaugos priemones, kurios atitinka saugotinų asmens duomenų pobūdį, tvarkomų asmens duomenų apimtį ir šių duomenų tvarkymo riziką;

7.7. vykdo kitas funkcijas, reikalingas Bendrovės teisėms ir pareigoms įgyvendinti.

8. Bendrovė turi atitinkamas teises:

8.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą ir

apsaugą;

8.2. pavesti duomenų tvarkytojams tvarkyti susitarime dėl asmens duomenų tvarkymo numatytus asmens duomenis;

8.3. kitas Reglamente, kituose Lietuvos Respublikos teisės aktuose įtvirtintas teises.

9. Bendrovė turi atitinkamas pareigas:

9.1. užtikrinti, kad būtų laikomasi šių Taisyklių, Reglamento, ADTAĮ ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimų;

9.2. tinkamai įgyvendinti duomenų subjekto teises laikydamasi Reglamente įtvirtintų reikalavimų;

9.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;

9.4. tvarkyti duomenų tvarkymo veiklos įrašus;

9.5. praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie tai pranešti Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms;

9.6. nepagrįstai nedelsdamas pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelė rizika duomenų subjekto teisėms ir laisvėms;

9.7. užtikrinti, kad asmens duomenys būtu saugomi Taisyklėse nustatytais terminais, ne ilgiau nei to reikia Taisyklėse numatytiems tikslams pasiekti;

9.8. pasitelkti asmens duomenų tvarkymui tik tuos duomenų tvarkytojus, kurie garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones;

9.9. saugoti, neatskleisti, neperduoti tvarkomų asmens duomenų ir nesudaryti sąlygų jokiomis priemonėmis su jais susipažinti nei vienam asmeniui, kuris nėra įgaliotas tvarkyti šių asmens duomenų, tiek Bendrovėje, tiek už jos ribų;

9.10. kitas Reglamente, ADTAĮ ir kituose Lietuvos Respublikos teisės aktuose numatytas

pareigas.

V. VIDAUS ADMINISTRAVIMAS

10. Bendrovė vidaus administravimo tikslais tvarko šiuos darbuotojų duomenis:

10.1. vardą;

10.2. pavardę;

10.3. nuolatinės gyvenamosios vietos adresą;

10.4. telefono numerį;

10.5. gimimo datą;

10.6. atsiskaitomosios banko sąskaitos numerį;

10.7. sveikatos tikrinimo knygelės duomenis;

10.8. informaciją apie:

10.8.1. kvalifikaciją;

10.8.2. darbo įgūdžius.

10.9. pareigybę;

10.10. parašą;

10.11. darbo užmokesčio dydį;

10.12. informaciją apie šeiminę padėtį;

10.13. informaciją apie darbingumo lygį;

10.14. informaciją apie neįgalumą;

10.15. automobilio valstybinį registracijos numerį.

11. Bendrovė vidaus administravimo tikslais tvarko šiuos akcininkų (fizinių asmenų) asmens duomenis:

11.1. vardą;

11.2. pavardę;

11.3. nuolatinės gyvenamosios vietos adresą;

11.4. telefono numerį;

11.5. gimimo datą;

11.6. asmens kodą;

11.7. atsiskaitomosios banko sąskaitos numerį;

11.8. elektroninio pašto adresą.

12. Bendrovė informaciją apie šeiminę padėtį, darbingumo lygį, neįgalumą, kitus sveikatos duomenis tvarko tik tais atvejais, kai siekia užtikrinti darbo santykius ir socialinius santykius reglamentuojančių Lietuvos Respublikos įstatymų ir teisės aktų teikiamas garantijas darbuotojams, taip pat kai siekia nustatyti darbuotojo darbingumą, profesinę ligą ir jo darbo vietoje kylančius rizikos veiksnius jo sveikatai. Bendrovės nustatyti tikslai darbuotojų specialiųjų kategorijų asmens duomenų tvarkymui atitinka Reglamento 9 straipsnio 2 dalies b) punkte numatytą sąlygą, leidžiančią tvarkyti specialiosios kategorijos asmens duomenis, kai tai būtina tam, kad duomenų valdytojas galėtų įvykdyti prievoles, o duomenų subjektas naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos arba valstybės narės teisėje, taip pat Reglamento 9 straipsnio 2 dalies h) punkte numatytą sąlygą, leidžiančią tvarkyti specialiosios kategorijos asmens duomenis darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą.

13. Bendrovės vidaus administravimas susideda iš Bendrovės struktūros tvarkymo, dokumentų, personalo, kapitalo, turimų materialinių ir finansinių išteklių valdymo, raštvedybos tvarkymo, prieigos prie darbo priemonių organizavimo, patekimo į Bendrovės teritoriją ir patalpas valdymo, Bendrovės finansinės atskaitomybės, visuotinių akcininkų susirinkimų šaukimo, registravimo, priimtų sprendimų vykdymo.

14. Darbuotojų asmens duomenys yra tvarkomi darbo sutarčių, sudarytų su darbuotojais, sąlygų vykdymo pagrindu, taip pat Bendrovės teisinių prievolių, kylančių iš darbo santykius ir socialinius santykius reglamentuojančių Lietuvos Respublikos įstatymų ir teisės aktų, vykdymo pagrindu.

15. Akcininkų asmens duomenys tvarkomi Bendrovės teisinių prievolių, kylančių iš Bendrovės steigimo sutarties, Lietuvos Respublikos akcinių bendrovių įstatymo reikalavimų, vykdymo pagrindu.

16. Xxxxxxxx darbuotojų asmens duomenis perduoda Valstybinei mokesčių inspekcijai prie Finansų ministerijos, Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos, Lietuvos darbo biržai prie Socialinės apsaugos ir darbo ministerijos, Lietuvos statistikos departamentui, skolų administravimo įmonėms ir kitoms valstybės ir savivaldybių institucijoms ir įstaigoms vykdydama Lietuvos Respublikos įstatymuose ir teisės aktuose nustatytas teisines prievoles bei užtikrindama savo veiklos tęstinumą. Perduodami tik tie darbuotojų asmens duomenys, kuriuos tvarko Bendrovė ir kuriuos įpareigoja perduoti valdžios ir savivaldybių institucijos ir įstaigos. Kitoms bendrovėms ir įstaigoms, kurioms perduoti darbuotojų asmens duomenų teisės aktai neįpareigoja ir asmens duomenų perdavimas nėra būtinas užtikrinti veiklos tęstinumui, darbuotojų duomenys gali būti perduodami tik gavus darbuotojo rašytinį sutikimą.

17. Bendrovė akcininkų asmens duomenis perduoda Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms vykdydama Lietuvos Respublikos įstatymuose ir teisės aktuose nustatytas teisines prievoles. Kitoms valstybės ir savivaldybių institucijoms, įstaigoms ar įmonėms, kurioms perduoti akcininkų asmens duomenų Bendrovė teisinės prievolės neturi, šių asmens duomenų perdavimas gali būti vykdomas tik gavus atitinkamų Bendrovės akcininkų sutikimus.

18. Xxxxxxxx darbuotojų ir akcininkų asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

19. Darbuotojų ir akcininkų asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių darbuotojų ir akcininkų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

20. Darbuotojo asmens duomenys tvarkomi, išskyrus saugojimą, iki darbo santykių pabaigos. Nutrūkus darbo santykiams su darbuotoju, jo asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais.

21. Akcininko asmens duomenys tvarkomi, išskyrus saugojimą, iki akcininkas parduoda, perleidžia ar kitaip praranda visas savo turimas akcijas. Akcininkui pardavus, perleidus ar kitaip netekus visų savo turimų akcijų, jo asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklės ir Bendrovės nustatytais terminais

22. Darbuotojų ir akcininkų asmens duomenys ištrinami iš visų kompiuterių, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, sunaikinamos sutartys, registracijos žurnalai, darbo laiko apskaitos žiniaraščiai, protokolai, sprendimai, akcijų sertifikatai ir kiti dokumentai, kuriuose yra saugomi darbuotojų ir akcininkų duomenys, pasibaigus Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje

nustatytiems dokumentų, kuriuose yra pateikiami darbuotojų ir akcininkų asmens duomenys, saugojimo terminams, išskyrus atvejus, kai atitinkami dokumentai ir bylos turi būti perduoti archyvuoti LR įstatymų ir teisės aktų nustatytoms valstybės ar savivaldybių institucijoms ar įstaigoms arba turi būti gražinti darbuotojams ar akcininkams.

VI. GAMINIŲ PARDAVIMAS BEI RANGOS IR PASLAUGŲ TEIKIMAS KLIENTAMS

23. Bendrovė plastikinių langų ar durų bei kitų gaminių pardavimo bei rangos ir kitų paslaugų teikimo klientams tikslais tvarko šiuos klientų fizinių asmenų asmens duomenis:

23.1. vardą;

23.2. pavardę;

23.3. nuolatinės gyvenamosios vietos adresą ir/arba adresą;

23.4. asmens kodą;

23.5. parašą;

23.6. telefono numerį;

23.7. elektroninio pašto adresą.

23.8. Pasitikslinti dėl banko sąskaitų kaupimo.

24. Bendrovė plastikinių langų ar durų bei kitų gaminių pardavimo bei rangos ir kitų paslaugų teikimo klientams tikslais tvarko šiuos klientų juridinių asmenų atstovų asmens duomenis:

24.1. vardą;

24.2. pavarde;

24.3. parašą.

25. Toliau Bendrovės klientai fiziniai asmenys ir klientų juridinių asmenų atstovai bendrai vadinami Klientais.

26. Klientų asmens duomenys yra tvarkomi plastikinių langų ar durų bei kitų gaminių pirkimo- pardavimo sutarčių, rangos sutarčių ir kitų paslaugų teikimo sutarčių vykdymo pagrindu, t. y. Bendrovei siekiant tinkamai įvykdyti savo įsipareigojimus ir įgyvendinti savo teises, nustatytas plastikinių langų ar durų bei kitų gaminių pirkimo-pardavimo sutartyse, rangos sutartyse ir kitų paslaugų teikimo sutartyse.

27. Kliento asmens duomenys be Kliento sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo Kliento asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais Kliento asmens duomenys gali būti perduodami tik gavus jo rašytinį sutikimą.

28. Bendrovė Klientų asmens duomenis susitarimo dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

29. Klientų asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių Klientų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

30. Klientų asmens duomenys, išskyrus saugojimą, yra tvarkomi kol pasibaigia verslo santykiai su Klientais ir įvykdomi visi tarpusavio įsipareigojimai, kylantys iš plastikinių langų ar durų bei kitų gaminių pirkimo-pardavimo sutarčių, rangos sutarčių ir kitų paslaugų teikimo sutarčių.

31. Po plastikinių langų ar durų bei kitų gaminių pirkimo-pardavimo sutarčių, rangos sutarčių ir kitų paslaugų teikimo sutarčių pasibaigimo, Klientų asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais bei ištrinami iš visų kompiuterių, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, sunaikinamos sutartys, sąskaitos ir kiti dokumentai, kuriuose yra saugomi Klientų asmens duomenys, šiems terminams pasibaigus.

VII. BENDRADARBIAVIMAS SU PARTNERIAIS

32. Bendrovė vykdydama bendrus projektus ar bendrą veiklą, taip pat bendradarbiaudama su savo partneriais kitais pagrindais tvarko šiuos parnerių fizinių asmenų asmens duomenis:

32.1. vardą;

32.2. pavardę;

32.3. asmens kodą;

32.4. parašą;

32.5. telefono numerį;

32.6. elektroninio pašto adresą;

32.7. Skype vardą;

32.8. atsiskaitomosios banko sąskaitos numerį.

33. Bendrovė vykdydama bendrus projektus ar bendrą veiklą, taip pat bendradarbiaudama su savo partneriais kitais pagrindais tvarko šiuos partnerių juridinių asmenų atstovų asmens duomenis:

33.1. vardą;

33.2. pavardę;

33.3. parašą;

33.4. telefono numerį;

33.5. elektroninio pašto adresą;

33.6. Skype vardą;

34. Toliau partneriai fiziniai asmenys ir partnerių juridinių asmenų atstovai bendrai vadinami Partneriais.

35. Partnerių asmens duomenys tvarkomi bendradarbiavimo ir kitų sutarčių vykdymo pagrindu,

t. y. Bendrovei siekiant tinkamai įvykdyti savo įsipareigojimus ir įgyvendinti savo teises, nustatytas bendradarbiavimo ir kitose sutartyse.

32. Partnerio asmens duomenys be jo sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo Partnerio asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais Partnerio asmens duomenys gali būti perduodami tik gavus jo rašytinį sutikimą.

33. Bendrovė Partnerių asmens duomenis susitarimo dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

34. Partnerių asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių Partnerių asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

35. Partnerių asmens duomenys, išskyrus saugojimą, yra tvarkomi kol pasibaigia verslo santykiai su Partneriais ir įvykdomi visi tarpusavio įsipareigojimai.

36. Po bendradarbiavimo ir kitų sutarčių, sudarytų su Partneriais, pasibaigimo, Partnerių asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais bei ištrinami iš visų kompiuterių, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, sunaikinamos sutartys, sąskaitos ir kiti dokumentai, kuriuose yra saugomi Partnerių asmens duomenys, šiems terminams pasibaigus.

VIII. PASLAUGŲ TEIKĖJŲ IR TIEKĖJŲ BENDROVEI TIEKIAMOS IR TEIKIAMOS PREKĖS, ŽALIAVOS IR

PASLAUGOS

37. Bendrovė paslaugų teikėjų ir tiekėjų tiekiamų ir teikiamų prekių, žaliavų ir paslaugų Bendrovei tikslais tvarko šiuos paslaugų teikėjų ir tiekėjų atstovų asmens duomenis:

37.1. vardą;

37.2. pavarde;

37.3. parašą;

37.4. telefono numerį;

37.5. elektroninio pašto adresą;

37.6. Skype vardą.

38. Paslaugų teikėjų ir tiekėjų atstovų asmens duomenys yra tvarkomi paslaugų teikimo sutarčių bei prekių ir žaliavų tiekimo sutarčių vykdymo pagrindu, t. y. Bendrovei siekiant tinkamai įvykdyti savo įsipareigojimus ir įgyvendinti savo teises, nustatytas paslaugų teikimo sutartyse bei prekių ir žaliavų tiekimo sutartyse.

39. Paslaugų teikėjų ir tiekėjų atstovų asmens duomenys be jų sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo paslaugos teikėjo ir tiekėjo atstovo asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms

valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais paslaugų teikėjų ir tiekėjų atstovų asmens duomenys gali būti perduodami tik gavus jų rašytinį sutikimą.

40. Bendrovė paslaugų teikėjų ir tiekėjų atstovų asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

41. Paslaugų tiekėjų ir tiekėjų atstovų asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių paslaugų teikėjų ir tiekėjų atstovų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

42. Paslaugų teikėjų ir tiekėjų atstovų asmens duomenys, išskyrus saugojimą, yra tvarkomi kol pasibaigia su paslaugų teikėjais ir tiekėjais sudarytos paslaugų teikimo bei prekių ir žaliavų tiekimo sutartys ir yra įvykdomi visi tarpusavio įsipareigojimai.

43. Po paslaugų teikimo sutarčių bei prekių ir žaliavų tiekimo sutarčių pasibaigimo, paslaugų teikėjų ir tiekėjų atstovų asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais bei ištrinami iš visų kompiuterių, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, sunaikinamos sutartys, sąskaitos ir kiti dokumentai, kuriuose yra saugomi paslaugų teikėjų ir tiekėjų atstovų asmens duomenys, šiems terminams pasibaigus.

IX. SUBRANGA

44. Bendrovė pasitelkdama rangos sutartims vykdyti subrangovus tvarko šiuos subrangovų fizinių asmenų asmens duomenis:

44.1. vardą;

44.2. pavardę;

44.3. asmens kodą;

44.4. parašą;

44.5. telefono numerį;

44.6. elektroninio pašto adresą;

44.7. atsiskaitomosios banko sąskaitos numerį.

45. Bendrovė pasitelkdama rangos sutartims vykdyti subrangovus tvarko šiuos subrangovų juridinių asmenų atstovų asmens duomenis:

45.1. vardą;

45.2. pavarde;

45.3. parašą;

45.4. telefono numerį;

45.5. elektroninio pašto adresą.

46. Toliau subrangovai fiziniai asmenys ir subrangovų juridinių asmenų atstovai bendrai vadinami Subrangovais.

44. Subrangovų asmens duomenys yra tvarkomi subrangos sutarčių vykdymo pagrindu, t. y. Bendrovei siekiant tinkamai įvykdyti savo įsipareigojimus ir įgyvendinti savo teises, nustatytas subrangos sutartyse.

45. Subrangovų asmens duomenys be jų sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo Subrangovo asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais Subrangovų asmens duomenys gali būti perduodami tik gavus jų rašytinį sutikimą.

46. Bendrovė Subrangovų asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

47. Subrangovų asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių Subrangovų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

48. Subrangovų asmens duomenys, išskyrus saugojimą, yra tvarkomi kol pasibaigia su Subrangovais sudarytos subrangos sutartys ir yra įvykdomi visi tarpusavio įsipareigojimai.

47. Po Subrangos sutarčių pasibaigimo, Subrangovų asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais bei ištrinami iš visų

kompiuterių, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, sunaikinamos sutartys, sąskaitos ir kiti dokumentai, kuriuose yra saugomi Subrangovų asmens duomenys, šiems terminams pasibaigus.

X. TIESIOGINĖ RINKODARA

48. Bendrovė tiesioginės rinkodaros tikslais tvarko šiuos klientų asmens duomenis:

48.1. vardą;

48.2. pavarde;

48.3. telefono numerį;

48.4. elektroninio pašto adresą.

49. Bendrovė tiesioginę rinkodarą vykdo siųsdama klientams naujienlaiškius, pateikdama individualius reklaminius skelbimus, siųsdama pranešimus apie Bendrovės siūlomiems plastikiniams langams, durims ir kitiems gaminiams bei papildomoms paslaugoms taikomas akcijas, organizuodama klientų apklausas dėl jiems parduotų plastikinių langų ar durų, suteiktų paslaugų kokybės, kainų, individualių pasiūlymų.

50. Bendrovė tiesioginės rinkodaros tikslu profiliuoja klientų asmens duomenis siekdama klientams pasiūlyti individualius sprendimus ir pasiūlymus, taip pat siekdama įvertinti ir analizuoti savo rinką, klientus, parduodamų plastikinių langų ar durų bei kitų gaminių ir teikiamų papildomų paslaugų paklausą. Klientų asmens duomenys profiliuojami nepriimant automatizuotų sprendimų, sukeliančių naudotojams teisines pasekmes.

51. Klientų asmens duomenys siekiant šiame skyriuje nustatytų tikslų yra tvarkomi jų sutikimo

pagrindu.

52. Bendrovė klientų asmens duomenis, tvarkomus tiesioginės rinkodaros tikslu, susitarimų dėl

asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams be išankstinio klientų leidimo.

53. Klientų asmens duomenis tiesioginės rinkodaros tikslu tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių klientų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

54. Kliento asmens duomenys tiesioginės rinkodaros tikslu yra tvarkomi kol jis atšaukia duotą sutikimą. Klientui atšaukus sutikimą jo asmens duomenys yra ištrinami iš visų kompiuterių, vidinio tinklo, VVS.

XI. VAIZDO STEBĖJIMAS IR VAIZDO DUOMENŲ TVARKYMAS

55. Vaizdo stebėjimas ir vaizdo duomenų tvarkymas vykdomas Bendrovės ir trečiųjų asmenų teisėtų interesų pagrindu siekiant užtikrinti visuomenės saugumą, Bendrovės turto ir konfidencialios informacijos apsaugą, darbo organizavimo tvarką, nelaimingų atsitikimų darbe prevenciją, patekimo į Bendrovės teritoriją ir patalpas kontrolę.

56. Kiekvienas lankytojas ir darbuotojas gali pagrįstai manyti, kad yra stebimas vaizdo kameromis, kadangi yra informuojamas apie Bendrovės teritorijoje ir patalpose vykdomą vaizdo stebėjimą informacinėmis nuorodomis. Informacinėse nuorodose pateikiama ši informacija:

56.1. Bendrovės ir jos atstovo kontaktiniai duomenys;

56.2. tikslai, kurių Bendrovė siekia, vykdydama vaizdo stebėjimą;

56.3. teisėtas interesas, kurio pagrindu Bendrovė vykdo teritorijos ir patalpų vaizdo stebėjimą;

56.4. atitinkamų asmens duomenų kategorijos;

56.5. vaizdo duomenų saugojimo laikotarpis, apibrėžiamas konkrečiu terminu arba kitais

kriterijais;

56.6. filmuojamų asmenų teisės;

56.7. teisė pateikti skundą Valstybinei duomenų apsaugos inspekcijai;

56.8. renkamų vaizdo duomenų šaltinis – teritorijoje ir patalpose filmuojančios vaizdo kameros.

57. Vaizdo stebėjimas vykdomas patalpose ir teritorijoje nurodytose Priedas Nr. 1.

58. Vaizdo duomenys be rašytinio duomenų subjekto sutikimo gali būti perduodami ikiteisminio

tyrimo įstaigai, prokurorui ar teismui kaip įrodymai, taip pat kitoms įstaigoms ar institucijoms įstatymų nustatyta tvarka.

59. Vaizdo duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali tvarkyti Bendrovės duomenų tvarkytojai.

60. Vaizdo duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie vaizdo duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

61. Vaizdo duomenys yra ištrinami po kai užpildomas diskas (viso 16Tb), vaizdo duomenys automatiniu būdu yra ištrinami nuo seniausių.

XII. DUOMENŲ SUBJEKTO TEISĖS IR PAREIGOS

63. Duomenų subjektai turi atitinkamas teises:

63.1. teisę susipažinti su tvarkomais asmens duomenimis;

63.2. teisę reikalauti ištaisyti arba patikslinti neteisingus arba netikslius asmens duomenis;

63.3. teisę reikalauti ištrinti tvarkomus asmens duomenis;

63.4. teisę apriboti asmens duomenų tvarkymą;

63.5. teisę gauti su duomenų subjektais susijusius asmens duomenis, kuriuos jie pateikė duomenų valdytojui, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui;

63.6. teisę nesutikti su asmens duomenų tvarkymu;

63.7. teisę bet kada atšaukti duotą sutikimą dėl jų asmens duomenų tvarkymo.

64. Duomenų subjektų teisėms taikomas sąlygas, apribojimus, ir teisių įgyvendinimo tvarką nustato Bendrovė direktoriaus patvirtintas Duomenų subjektų teisių įgyvendinimo tvarkos aprašas.

65. Duomenų subjektai turi atitinkamas pareigas:

65.1. Bendrovei pateikti išsamius ir teisingus asmens duomenis;

65.2. pasikeitus duomenų subjekto asmens duomenims arba duomenų subjektui pateikus neteisingus asmens duomenis, nedelsiant apie tai informuoti Xxxxxxxx ir pateikti naujus arba patikslintus asmens duomenis;

65.3. sąžiningai naudotis ir nepiktnaudžiauti savo turimomis teisėmis.

XIII. ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

66. Bendrovėje asmens duomenų saugumas užtikrinamas nurodytomis organizacinėmis ir techninėmis duomenų apsaugos priemonėmis:

66.1. užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė;

66.2. užtikrinamas tvarkomų asmens duomenų;

66.3. prieiga prie asmens duomenų ir Bendrovės išteklių suteikiama tik darbuotojams, kurie turi įgaliojimus tvarkyti asmens duomenimis. Darbuotojai, dirbantys su asmens duomenimis, privalo būti pasirašę pasižadėjimus tinkamai tvarkyti asmens duomenis ir užtikrinti šių duomenų konfidencialumą;

66.4. prisijungimų prie Bendrovės naudojamų kompiuterių, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, programinės įrangos, elektroninio pašto paskyrų slaptažodžiams keliami reikalavimai:

66.4.1. naujas slaptažodis turi būti unikalus, sudarytas iš ne mažiau kaip 8 simbolių, iš kurių bent vienas simbolis turi būti skaičius ir bent viena raidė turi būti didžioji;

66.4.2. kuriant slaptažodžio simbolių kombinaciją, draudžiama naudoti asmeninio pobūdžio informaciją.

66.5. naudotojų vardai ir slaptažodžiai yra asmeniniai;

66.6. Esant vidinio tinklo asmens duomenų saugumo pažeidimui, nedelsiant turi būti keičiami visų Bendrovės naudojamų kompiuterių, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, programinės įrango paskyrų, kuriuose tvarkomi asmens duomenys, slaptažodžiai. Jei egzistuoja tikimybė, kad konkretaus Bendrovės naudojamo kompiuterio, vidinio tinklo, VVS, buhalterinės apskaitos sistemos, programinės įrangos ar elektroninio pašto paskyros slaptažodis buvo atskleistas tretiesiems asmenims arba paviešintas išoriniuose tinkluose, toks slaptažodis turi būti nedelsiant pakeičiamas;

66.7. draudžiama per Xxxxxxxxx el. pašto paskyras siųsti kenkėjiško, nelegalaus ir kito netinkamo turinio el. laiškus. Jei gaunamas el. laiškas su įtartinu turiniu ar priedais, draudžiama tokį laišką ir jo priedus atidaryti ar išsaugoti, o atitinkamo siuntėjo el. pašto adresas turi būti blokuojamas. Taip pat draudžiama atidaryti ar naudoti bet kokį el. laišku gautą vykdomąjį failą (.exe, .cmd, .bat, .scr, .com ir t. t.).

Visuomet prieš atsakant arba persiunčiant laišką trečiajam asmeniui privaloma patikrinti siunčiamo laiško turinį. El. laiške neturėtų būti likę ankstesni pokalbiai su kitais trečiaisiais asmenimis, trečiajam asmeniui neskirta konfidenciali informacija. Draudžiama sukonfigūruoti darbinį el. paštą asmeniniame kompiuteryje, telefone, planšetėje, kitame įrenginyje;

66.8. Bendrovės tvarkomų asmens duomenų ar kitos vidinės informacijos paskleidimas socialiniuose tinkluose ir kitomis informacijos sklaidos priemonėmis yra draudžiamas;

66.9. draudžiama netinkamai naudoti Bendrovės darbinius kompiuterius ar juos gadinti. Baigus naudotis darbo kompiuteriu, visuomet privaloma užrakinti jo ekraną. Bendrovės naudojamuose kompiuteriuose, kuriuose tvarkomi asmens duomenys, naudojamos tik su darbu ir Bendrovės veikla susijusios paskyros;

66.10. visa Bendrovės naudojama operacinė sistema ir programinė įranga yra palaikoma ir licencijuojama. Visa Bendrovės naudojama operacinė sistema ir programinė įranga yra automatiškai atnaujinama licenciją suteikiančios įmonės gamintojos nustatyta tvarka. Bendrovės programos yra licencijuojamos tik jų naudojimui Bendrovėje, bet ne kitur;

66.11. visuose Bendrovės kompiuteriuose yra įdiegta naujausia licencijuota antivirusinė programinė įranga;

66.12. bet koks nebūtinas asmens duomenų srautas yra draudžiamas;

66.13. vidinis Bendrovės tinklas ir kompiuteriai turi ugniasienes;

66.14. užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas. Tretiesiems asmenims ar neįgaliotiems dirbti su atitinkamais asmens duomenimis darbuotojams ribojamas patekimas į patalpas, kuriose saugomi asmens duomenys;

66.15. užtikrinama, kad sistemų ir programinės įrangos testavimas Bendrovėje nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;

66.16. asmens duomenys į išorinius tinklus iš Bendrovė vidinių tinklų perduodami tik juos pirmiausia užšifravus.

XIV. ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

67. Bendrovė turi teisę pasitelkti duomenų tvarkytoją, kuris tvarkys Bendrovės pavestus asmens duomenis.

68. Tais atvejais, kai Bendrovė pasitelkia duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Bendrovės ir duomenų tvarkytojo rašytinis susitarimas dėl asmens duomenų tvarkymo. Šis susitarimas rengiamas pagrindinės Bendrovės ir duomenų tvarkytojo sutarties, kurios tinkamam vykdymui duomenų tvarkytojas privalo tvarkyti Bendrovės pavedamus asmens duomenis, pagrindu.

69. Bendrovė duomenų tvarkytojo atžvilgiu turi šias pareigas:

69.1. įsitikinti, kad duomenų tvarkytojo taikomos techninės ir organizacinės apsaugos priemonės užtikrina tinkamą duomenų tvarkytojui pavestų tvarkyti asmens duomenų ir duomenų subjektų teisių ir teisėtų interesų apsaugą;

69.2. informuoti duomenų tvarkytoją apie duomenų saugumo pažeidimą, jei duomenų saugumo pažeidimas kelia riziką duomenų tvarkytojo vykdomam Bendrovės pavestų asmens duomenų tvarkymui;

69.3. paskirti asmenis, atsakingus už papildomų rašytinių nurodymų ar instrukcijų duomenų tvarkytojui teikimą, kitų Bendrovės pareigų ir teisių įgyvendinimą, taip pat duomenų tvarkytojo ir Bendrovės veiksmų koordinavimą;

69.4. per protingą laiko tarpą raštu informuoti duomenų tvarkytoją apie patenkintą duomenų subjekto prašymą ištaisyti, ištrinti tam tikrus jo asmens duomenis arba apriboti šių asmens duomenų tvarkymą ir teikti rašytinį nurodymą duomenų tvarkytojui atitinkamus duomenis ištaisyti, ištrinti ar apriboti jų tvarkymą. Bendrovės pareiga raštu informuoti duomenų tvarkytoją apie asmens duomenų ištaisymą, ištrynimą ar šių duomenų tvarkymo apribojimą ir skirti duomenų tvarkytojui rašytinius nurodymus atsiranda tik tuo atveju, jei duomenų subjektas ir jo asmens duomenys, kuriuos Bendrovė ištaisė, ištrynė ar apribojo jų tvarkymą, patenka į duomenų tvarkytojo tvarkomas duomenų subjektų ir asmens duomenų kategorijas, nurodytas susitarime dėl asmens duomenų tvarkymo. Bendrovės rašytiniame nurodyme pateikiamas duomenų subjekto vardas, pavardė, kategorija, jo asmens duomenų, kuriuos Bendrovė ištaisė, ištrynė ar apribojo jų tvarkymą, sąrašas, nustatomi veiksmai, kuriuos duomenų tvarkytojas privalo atlikti, ir nurodomas veiksmų atlikimo terminas, atsižvelgiant į asmens duomenų, kuriuos nurodoma ištaisyti, ištrinti

ar apriboti jų tvarkymą, kiekį ir tvarkymo apimtis. Kai duomenų tvarkytojui nurodoma ištaisyti tam tikrus duomenų subjekto asmens duomenis, Bendrovė nurodyme taip pat turi pateikti, kaip turi būti ištaisomi atitinkami duomenys;

69.5. vykdyti kitas pareigas, numatytas Reglamente, ADTAĮ, kituose teisės aktuose, nustatančiuose reikalavimus dėl asmens duomenų tvarkymo ir apsaugos, kiek šių pareigų vykdymas yra susijęs su susitarimo dėl asmens duomenų tvarkymo tinkamu įgyvendinimu.

70. Bendrovė duomenų tvarkytojo atžvilgiu turi šias teises:

70.1. patikrinti ir įvertinti, ar duomenų tvarkytojas faktiškai įgyvendina technines ir organizacines priemones, duomenų tvarkytojo aprašytas susitarime dėl asmens duomenų tvarkymo;

70.2. reikalauti duomenų tvarkytojo įgyvendinti papildomas technines ir organizacines priemones ar pakoreguoti Bendrovės pavestų asmens duomenų tvarkymo veiklą, jei Bendrovė pagrįstai mano, kad be papildomų techninių ir organizacinių priemonių ar duomenų tvarkytojui nepakoregavus asmens duomenų tvarkymo veiklos, gali kilti rizika asmens duomenų saugumui ir duomenų subjektų, kurių asmens duomenis tvarko duomenų tvarkytojas, teisėms ir teisėtiems interesams. Duomenų tvarkytojas gali atsisakyti vykdyti Bendrovės nurodymą įgyvendinti papildomas technines ir organizacines priemones ar pakoreguoti Bendrovės pavestų asmens duomenų tvarkymo veiklą, jei dėl atitinkamų papildomų techninių ir organizacinių priemonių diegimo ar duomenų tvarkymo veiklos koregavimo duomenų tvarkytojas patirtų nepagrįstai dideles išlaidas, o Bendrovė atsisakytų jas kompensuoti.

70.3. jei duomenų tvarkytojas yra atlikęs auditą ar yra gavęs patvirtintos sertifikavimo įstaigos išduotą sertifikatą dėl jo taikomų techninių ir organizacinių priemonių atitikties Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų reikalavimams, gauti audito ataskaitos ar sertifikato kopiją;

70.4. kontroliuoti, kaip duomenų tvarkytojas ir kiti asmenys, duomenų tvarkytojo įgalioti tvarkyti Bendrovės pavestus asmens duomenis, laikosi konfidencialumo pareigos, įtvirtintos susitarime dėl asmens duomenų tvarkymo;

70.5. leisti duomenų tvarkytojui pasitelkti kitus duomenų tvarkytojus (toliau – Subtvarkytojai) Bendrovės pavestų asmens duomenų tvarkymui;

70.6. pasitelkti kitą duomenų tvarkytoją dėl tų pačių asmens duomenų tvarkymo tais pačiais arba kitais tikslais;

70.7. susipažinti su duomenų tvarkytojo dokumentais, kuriais dokumentuojamas Bendrovės pavestų asmens duomenų tvarkymo procesas, ir gauti šių dokumentų kopijas, taip pat gauti kitą informaciją iš duomenų tvarkytojo, susijusią su Bendrovės pavestų asmens duomenų tvarkymu;

70.8. apriboti duomenų tvarkytojo vykdomą Bendrovės pavestų visų ar dalies asmens duomenų tvarkymą, kai Bendrovė turi pagrindo manyti, kad duomenų tvarkytojo tvarkomi asmens duomenys yra netikslūs arba neteisingi, duomenų tvarkytojo ar jo įgaliotų asmenų asmens duomenų tvarkymas yra vykdomas kitais nei susitarime dėl asmens duomenų tvarkymo nustatytais tvarkymo tikslais, tvarkymas neatitinka susitarime dėl asmens duomenų tvarkymo aprašyto tvarkymo pobūdžio, duomenų tvarkytojas ir jo įgalioti darbuotojai nesilaiko konfidencialumo pareigos, duomenų tvarkytojo taikomos techninės ir organizacinės priemonės nebeužtikrina tinkamos duomenų tvarkytojo Bendrovės pavedimu tvarkomų asmens duomenų ir duomenų subjektų teisių ir teisėtų interesų apsaugos, duomenų tvarkytojas faktiškai neįgyvendina techninių ir organizacinių priemonių, duomenų tvarkytojas pažeidžia susitarimo dėl asmens duomenų tvarkymo sąlygas, Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų reikalavimus dėl asmens duomenų tvarkymo ir apsaugos. Asmens duomenų tvarkymo apribojimo laikotarpiui yra sustabdomas pagrindinės sutarties vykdymas, nebent asmens duomenų tvarkymo apribojimas neužkerta kelio tinkamam pagrindinės sutarties įgyvendinimui;

70.9. nutraukti pagrindinę sutartį su duomenų tvarkytoju tais pačiais pagrindais, kurie taikomi duomenų tvarkytojo vykdomam asmens duomenų tvarkymo apribojimui, išskyrus atvejus, kai Bendrovė turi pagrindo manyti, kad duomenų tvarkytojo tvarkomi Bendrovės pavesti asmens duomenys yra netikslūs arba neteisingi;

70.10. teikti duomenų tvarkytojui papildomus rašytinius nurodymus ar instrukcijas dėl asmens duomenų tvarkymo ir saugumo atvejų siekiant tinkamai įgyvendinti keliamus reikalavimus duomenų tvarkytojo vykdomam asmens duomenų tvarkymui ir apsaugai;

70.11. turi kitas teises duomenų tvarkytojo atžvilgiu, numatytas Reglamente, ADTAĮ ir kituose Lietuvos Respublikos teisės aktuose.

71. Duomenų tvarkytojas Xxxxxxxxx atžvilgiu turi šias pareigas:

71.1. tvarkyti asmens duomenis tik pagal šių Taisyklių, susitarimo dėl asmens duomenų tvarkymo nuostatas ir Bendrovės teikiamus papildomus nurodymus ar instrukcijas, įskaitant asmens duomenų perdavimą tretiesiems asmenims. Tvarkyti asmens duomenis be Bendrovės nurodymo duomenų tvarkytojas privalo, kai teisinę duomenų tvarkytojo prievolę nustato Europos Sąjungos ar valstybės narės teisė. Tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti asmens duomenis ne vėliau kaip per 2 dienas praneša apie jo teisinę prievolę Bendrovei, išskyrus atvejus, kai remiantis

Europos Sąjungos ar valstybės narės teise toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių. Jei duomenų tvarkytojas iš Bendrovės nėra gavęs papildomų rašytinių nurodymų ar instrukcijų, kaip tvarkyti asmens duomenis konkrečioje situacijoje, arba jei Bendrovės duoti papildomi rašytiniai nurodymai ar instrukcijos prieštarauja Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimams, duomenų tvarkytojas nedelsdamas, bet ne vėliau kaip per 2 dienas apie tai informuoja Bendrovę;

71.2. gavęs prašymą iš VDAI, vykdyti prašyme pateikiamus nurodymus ar rekomendacijas, taip pat kitais būdais bendradarbiauti su VDAI jai vykdant savo tiesiogines funkcijas. Apie VDAI prašyme pateikiamus nurodymus ar rekomendacijas duomenų tvarkytojas privalo informuoti Xxxxxxxx ne vėliau kaip per 2 dienas;

71.3. padėti Bendrovei įgyvendinti duomenų subjektų teises, numatytas Reglamento 3 skyriuje, jei duomenų tvarkytojui yra pavesta tvarkyti atitinkamos duomenų subjektų kategorijos asmens duomenis;

71.4. gavus duomenų subjekto prašymą pateikti informaciją apie jo asmens duomenis, Bendrovės pavestus tvarkyti duomenų tvarkytojui, arba įgyvendinti kitą teisę, numatytą Reglamento 3 skyriuje, perduoti šį prašymą Bendrovei ne vėliau kaip 2 dienas nuo prašymo gavimo dienos;

71.5. Bendrovei pareikalavus, suteikti visą informaciją apie vykdomą jos vardu asmens duomenų tvarkymą;

71.6. užtikrinti faktinį tinkamų organizacinių ir techninių priemonių įgyvendinimą, taip pat įgyvendinti papildomas technines ir organizacines priemones Bendrovei pareikalavus, nebent dėl atitinkamų papildomų techninių ir organizacinių priemonių diegimo duomenų tvarkytojas patirtų nepagrįstai dideles išlaidas, o Bendrovė atsisakytų jas kompensuoti;

71.7. Bendrovei pareikalavus, suteikti audito ataskaitos ar sertifikato kopiją, jei duomenų tvarkytojas yra atlikęs auditą ar yra gavęs patvirtintos sertifikavimo įstaigos išduotą sertifikatą dėl jo taikomų techninių ir organizacinių priemonių atitikties Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų reikalavimams;

71.8. ne vėliau kaip 5 dienas nuo susitarimo dėl asmens duomenų tvarkymo sudarymo dienos sudaryti ir patvirtinti duomenų tvarkytojo darbuotojų, įgaliotų tvarkyti Bendrovės pavestus asmens duomenis, sąrašą ir jį pateikti Bendrovei. Duomenų tvarkytojui pakeitus, papildžius, atnaujinus ir iš naujo patvirtintus darbuotojų, įgaliotų tvarkyti Bendrovės pavestus asmens duomenis, sąrašą, duomenų tvarkytojas privalo pakeistą, papildytą ar atnaujintą sąrašą pateikti Bendrovei per 5 dienas nuo naujo sąrašo patvirtinimo dienos;

71.9. po susitarimo dėl asmens duomenų tvarkymo sudarymo sudaryti su darbuotojais pasižadėjimus dėl tinkamo asmens duomenų tvarkymo, atitinkančius duomenų tvarkytojo ir jo įgaliotų darbuotojų konfidencialumo pareigos sąlygą. Duomenų tvarkytojui draudžiama leisti darbuotojams susipažinti su Bendrovės asmens duomenimis ir pradėti juos tvarkyti, taip pat suteikti prieigą prie šių asmens duomenų kol su jais nėra sudaryti tokie pasižadėjimai;

71.10. užtikrinti, kad įgalioti darbuotojai tvarkytų Bendrovės pavestus asmens duomenis susitarime dėl asmens duomenų tvarkymo nustatytais tikslais, laikytųsi nustatyto asmens duomenų tvarkymo pobūdžio, konfidencialumo pareigos, organizacinių ir techninių asmens duomenų apsaugos priemonių įgyvendinimo tvarkos ir kitų reikalavimų;

71.11. tvarkyti asmens duomenis tik ta apimtimi, kuri yra nustatyta susitarime dėl asmens duomenų tvarkymo ir yra būtina funkcijoms pagal šį susitarimą atlikti;

71.12. Bendrovei pareikalavus pateikti dokumentų, kuriais dokumentuojamas Bendrovės pavestų asmens duomenų tvarkymo procesas, kopijas;

71.13. informuoti Xxxxxxxx apie asmens duomenų saugumo pažeidimą Asmens duomenų saugumo pažeidimų valdymo ir reagavimo į juos tvarkos aprašo nustatyta tvarka ir imtis kitų veiksmų siekiant pašalinti atsiradusį pažeidimą;

71.14. atlyginti Bendrovei jos patirtus nuostolius, kurie atsirado duomenų tvarkytojui pažeidus Taisyklių, susitarimo dėl asmens duomenų tvarkymo sąlygų, Reglamento, ADTAĮ ir kitų teisės aktų, kuriais reguliuojamas duomenų tvarkymas ir apsauga, reikalavimus;

71.15. suėjus susitarimo dėl asmens duomenų tvarkymo galiojimo terminui grąžinti Bendrovei jos pavestus tvarkyti duomenis ir ištrinti asmens duomenų kopijas arba ištrinti Bendrovės pavestus asmens duomenis be grąžinimo;

71.16. vykdyti kitas pareigas, numatytas Reglamente, ADTAĮ, kituose teisės aktuose, nustatančiuose reikalavimus dėl asmens duomenų tvarkymo ir apsaugos, kiek šių pareigų vykdymas yra susijęs su susitarimo dėl asmens duomenų tvarkymo tinkamu įgyvendinimu.

72. Duomenų tvarkytojas Xxxxxxxxx atžvilgiu turi šias teises:

72.1. keisti, papildyti, atnaujinti duomenų tvarkytojo darbuotojų, įgaliotų tvarkyti Bendrovės pavestus asmens duomenis, sąrašą;

72.2. konsultuotis su Bendrove ir prašyti suteikti papildomus nurodymus ir instrukcijas dėl asmens duomenų tvarkymo ir apsaugos atvejų, kurių neapibrėžia Taisyklių nuostatos ir susitarimo dėl asmens duomenų tvarkymo sąlygos, siekiant tinkamai įgyvendinti keliamus reikalavimus duomenų tvarkytojo vykdomam asmens duomenų tvarkymui ir apsaugai;

72.3. Bendrovei sutikus, pasitelkti kitus duomenų tvarkytojus (subtvarkytojus) Bendrovės pavestų asmens duomenų tvarkymui;

72.4. diegti papildomas organizacines ir technines apsaugos priemones tvarkomų Bendrovės asmens duomenų apsaugai šias priemones suderinus su Bendrove;

72.5. turi kitas teises Bendrovės atžvilgiu numatytas Reglamente, ADTAĮ ir kituose Lietuvos Respublikos teisės aktuose.

73. Kito duomenų tvarkytojo (subtvarkytojo) pasitelkimo sąlygos ir tvarka:

73.1. duomenų tvarkytojas gali pasitelkti subtvarkytojus tik gavęs išankstinį rašytinį Bendrovės

sutikimą;

73.2. duomenų tvarkytojas privalo iš anksto informuoti Xxxxxxxx apie bet kokius planuojamus

pakeitimus, susijusius su subtvarkytojų pasitelkimu ar pakeitimu, ir gauti Bendrovės rašytinį sutikimą;

73.3. duomenų tvarkytojo ir subtvarkytojo sutartyje ar kitame susitarime turi būti nustatomos tokios pačios pareigos ir kiti reikalavimai, keliami duomenų tvarkytojui;

73.4. duomenų tvarkytojas turi pareigą įsitikinti, ar subtvarkytojas faktiškai įgyvendina duomenų tvarkytojo ir subtvarkytojo sutartyje ar kitame susitarime nustatytas organizacines ir technines apsaugos priemones, taip pat kontroliuoti, kaip subtvarkytojas ir jo įgalioti darbuotojai vykdo jam duomenų tvarkytojo pavestų Bendrovės asmens duomenų tvarkymą;

73.5. duomenų tvarkytojas visiškai atsako Bendrovei už subtvarkytojo netinkamai atliekamą Bendrovės asmens duomenų tvarkymą, taip pat kitus reikalavimų ir sąlygų pažeidimus.

74. Asmens duomenų grąžinimo Bendrovei ir ištrynimo sąlygos ir tvarka:

74.1. pasibaigus susitarimo dėl asmens duomenų tvarkymo galiojimo terminui, duomenų tvarkytojas privalo grąžinti Bendrovei visus susitarimo dėl asmens duomenų tvarkymo pagrindu tvarkytus Bendrovės asmens duomenis ir ištrinti ar sunaikinti tiek popierines, tiek skaitmenines šių asmens duomenų kopijas, nebent Bendrovė duoda nurodymą duomenų tvarkytojui ištrinti visus jos tvarkytus asmens duomenis jų negrąžinant arba asmens duomenų grąžinimas dėl asmens duomenų pateikimo būdo, kiekio ar kitų priežasčių yra neįmanomas arba pareikalautų neproporcingų duomenų tvarkytojo pastangų. Jei duomenų tvarkytojas negrąžina Bendrovei asmens duomenų dėl to, kad asmens duomenų gražinimas nėra įmanomas arba pareikalautų neproporcingų duomenų tvarkytojo pastangų, duomenų tvarkytojas tokius asmens duomenis privalo ištrinti arba sunaikinti;

74.2. duomenų tvarkytojas negrąžina Bendrovei susitarimo dėl asmens duomenų tvarkymo pagrindu tvarkytų asmens duomenų, taip pat neištrina šių duomenų ar jų kopijų, jei duomenų tvarkytojui yra nustatoma teisinė prievolė atitinkamus asmens duomenis saugoti LR teisės aktų nustatyta tvarka.

75. Bendrovės ir duomenų tvarkytojo atsakomybė:

75.1. Bendrovei ir/arba jos duomenų tvarkytojui už Reglamento, ADTAĮ ir kitų LR teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, pažeidimus kyla atsakomybė Reglamento ir įstatymų nustatyta tvarka;

75.2. Bendrovė ir/arba jos duomenų tvarkytojas privalo kompensuoti bet kuriam asmeniui sukeltą turtinę, taip pat ir neturtinę žalą dėl Reglamento, ADTAĮ ir kitų LR teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, pažeidimų įstatymų nustatyta tvarka.

76. Bendrovė pasirenka tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

XV. ASMENS DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

77. Bendrovė rengia ir registruoja duomenų tvarkymo veiklos įrašus vidaus administravimo, tiesioginės rinkodaros tikslais, taip pat vykdomam Bendrovės vaizdo stebėjimui. Duomenų tvarkymo veiklos įrašai gali būti rengiami ir kitiems Bendrovės nustatytiems asmens duomenų tvarkymo tikslams.

78. Tvarkomuose duomenų tvarkymo veiklos įrašuose pateikiama toliau nurodyta informacija:

78.1. duomenų tvarkymo tikslai;

78.2. Bendroji informacija apie bendrovę;

78.3. Bendrovės atstovo kontaktiniai duomenys;

78.4. tvarkymo veiklos pobūdis, susijęs su asmens duomenų tvarkymo tikslu;

78.5. duomenų subjektų kategorijos ir tvarkomi asmens duomenys;

78.6. duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

78.7. asmens duomenų ištrynimo terminai;

78.8. bendras techninių ir organizacinių saugumo priemonių aprašymas;

78.9. duomenų subjektams taikomos teisės.

79. Asmens duomenų tvarkymo veiklos įrašai turi būti tvarkomi raštu, įskaitant elektroninę

formą.

80. Bendrovė, gavusi prašymą iš Valstybinės duomenų apsaugos inspekcijos, privalo pateikti

atitinkamus duomenų tvarkymo veiklos įrašus.

81. Bendrovėje yra nustatyta tvarkymo veiklos įrašų forma.

XVI. BAIGIAMOSIOS NUOSTATOS

82. Visi Bendrovės darbuotojai ir duomenų tvarkytojai privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo, konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente.

83. Darbuotojai su Taisyklėmis supažindinami pasirašytinai.

84. Šių Taisyklių nesilaikymas darbuotojams, tvarkantiems arba turintiems prieigą prie Bendrovė valdomų asmens duomenų, laikomas darbo pareigų pažeidimu.

85. Darbuotojai, pažeidę Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, atsako įstatymų nustatyta tvarka.

86. Apie šių Taisyklių patvirtinimą yra informuota Bendrovės darbo taryba ir su ja dėl Taisyklių patvirtinimo yra konsultuotasi.

Asmens duomenų tvarkymo taisyklių Priedas Nr. 1

PATALPŲ IR TERITORIJOS, KUR VYKDOMAS VAIZDO STEBĖJIMAS SĄRAŠAS

1. Vaizdo stebėjimas vykdomas šiose patalpose:

1.1. gamybinėse patalpose: PVC, ALU, pagalbinės gamybos cechuose adresu Xxxxxxxx x. 59, Neveronys;

1.2. sandėliuose: medžiagų sandėlyje, komplektavimo sandėlyje, prekių, skirtų perparduoti (PORTA), sandėlyje, pagamintos produkcijos sandėlyje adresu Xxxxxxxx x. 59, Neveronys;

1.3. administracinio pastato įėjimas adresu Xxxxxxxx x. 59, Neveronys.

2. Vaizdo stebėjimas taip pat vykdomas PVC/ALU medžiagų iškrovimo kieme adresu Kertupio

g. 59, Neveronys.