UŽDAROSIOS AKCINĖS BENDROVĖS „RETAL BALTIC FILMS“ GENERALINĖS DIREKTORĖS

UŽDAROSIOS AKCINĖS BENDROVĖS „RETAL BALTIC FILMS“ GENERALINĖS DIREKTORĖS

ĮSAKYMAS

DĖL UAB „RETAL BALTIC FILMS“ INFORMACIJOS VALDYMO TVARKOS

PATVIRTINIMO

2024 m. vasario mėn. 7 d. Nr. PV-21-056 Klaipėda

Šiuo įsakymu:

1. TVIRTINU Bendrovės informacijos valdymo tvarką (anglų k. – information management procedure), toliau – Tvarka (pridedama), kuri įsigalioja nuo 2024 m. vasario 9 d.

2. PAVEDU Tvarkoje nurodytas sistemos valdytojo funkcijas vykdyti personalo vadovui (-ei).

3. ĮSAKAU Biuro administratorei pasirašytinai per Bendrovės naudojamą dokumentų valdymo sistemą su Informacijos valdymo tvarka supažindinti visus esamus ir naujai priimamus Bendrovės darbuotojus bei viešai paskelbti Tvarką Bendrovės darbuotojų poilsio patalpose (pvz. informaciniuose stenduose), Xxxxxxxxx intraneto puslapyje ir RETAL grupės interneto svetainėje.

4. PAVEDU personalo vadovui (-ei) kontroliuoti šio įsakymo vykdymą.

5. Nuo šio įsakymo pasirašymo dienos Tvarka keičia ir, kai taikytina, turi viršenybę prieš Bendrovės politikas ir taisykles, susijusias su Tvarkos taikymo sritimi, įskaitant RETAL Grupės bendrą kovos su korupcija ir kyšininkavimu politiką, versija 2018-03 (anglų k. - RETAL Group Corporate Anti-Corruption and Anti-Bribery Policy, version 2018-03), patvirtintą Bendrovės generalinės direktorės 2018 m. lapkričio 14 d. įsakymu Nr. V-12/18, toliau – Politika, ir Xxxxxxxxx informavimo apie pažeidimus protokolą, versija 2018-01 (anglų k. – Whistleblowing Protocol, version 2018-01), patvirtintą Bendrovės generalinės direktorės 2018 m. rugpjūčio 9 d., įsakymu Nr. V-10/18, toliau – Protokolas, iki šios Politikos ir Protokolo pakeitimo arba paskelbimo negaliojančiais.

6. Įsakymas gali būti keičiamas, pildomas ar panaikinamas atskiru generalinio (-ės) direktoriaus (-ės) sprendimu.

Generalinė direktorė Xxxxxxxxx Xxxxxxxx

Su darbo taryba pasikonsultuota: 2024-02-07 Darbo tarybos protokolas Nr. DT-2024/01 Darbo tarybos pirmininkas Xxxxxxxx Xxxxxxxxx

Parengė:

Personalo vadovė Xxxxx Xxxxxx

Su darbo taryba pasikonsultuota: 2024-02-07 Darbo tarybos protokolas Nr. DT-2024/01 Darbo tarybos pirmininkas Xxxxxxxx Xxxxxxxxx

Patvirtinta Generalinio direktoriaus 2024-02-07 įsakymu

UAB “RETAL BALTIC FILMS“

INFORMACIJOS VALDYMO TVARKA

Approved by the order of the General Manager dated 2024-02-07.

UAB “RETAL BALTIC FILMS“

INFORMATION MANAGEMENT PROCEDURE

1. TIKSLAS

1.1 Tai yra informacijos valdymo tvarka („Bendrovė“, „mes“ „mus“ ).

1.2 Ši tvarka nustato bendruosius vidaus informacinės sistemos ir pranešėjų apsaugos principus. Ši tvarka parengta vadovaujantis 2017 m. lapkričio 28 d. Lietuvos Respublikos pranešėjų apsaugos įstatymu Nr. XIII-804, kuriuo reglamentuojama asmenų, pranešančių apie teisės aktų pažeidimus, apsauga ir kova su korupcija (toliau – Įstatymas).

1.3 Šioje tvarkoje aprašoma, kaip gauname ir tvarkome pranešimus apie tam tikrus teisės pažeidimus naudodamiesi esamais vidiniais informacijos apie pažeidimus teikimo kanalais.

1.4 Ši tvarka nustato susižinojimo nepriklausomumo, konfidencialumo, duomenų apsaugos ir slaptumo garantijas. Joje nustatyti vidaus informacinės sistemos elementai ir pagal teisės aktus reikalaujami kanalai.

2. VIDAUS INFORMACINĖ SISTEMA. SUDĖTIS IR VALDYMAS

2.1 Vidaus informacinę sistemą (toliau –

Sistema) sudaro šie elementai:

(a) ši tvarka;

(b) Bendrovės sukurti vidiniai informacijos apie pažeidimus teikimo kanalai;

(x) Xxxxxxxxx valdymo ir vadovavimo organai, sistemos valdytojas, jų

1. PURPOSE

1.1 This is an information management procedure (“Company,” “we,” “us”).

1.2 This Procedure outlines general principles for the internal information system and protecting whistleblowers. The Procedure follows Whistleblowers Protection Law of the Republic of Lithuania No XIII-804 dated 28 November 2017, regulating the protection of people who report regulatory offences and the fight against corruption (“Law”).

1.3 The Procedure describes how we receive and process reports on certain law violations using our existing internal information channels.

1.4 The Procedure sets out guarantees of independence, confidentiality, data protection, and secrecy of communications. It sets out the elements of the internal information system and channels required by law.

2. INTERNAL INFORMATION SYSTEM. COMPOSITION AND GOVERNANCE

2.1 The internal information system (“System”) comprises the following elements:

(a) this Procedure;

(b) the internal information channels established by the Company;

(c) the Company’s governing and management bodies, system manager, their roles and responsibilities, as described in the respective policies;

funkcijos ir pareigos taip, kaip aprašyta atitinkamoje politikoje;

(d) Bendrovės patvirtinti vadovai, taisyklės ir kiti dokumentai.

2.2 Generalinis direktorius yra atsakingas už Sistemos įgyvendinimą.

2.3 Sistemą valdo Generalinio direktoriaus paskirtas atsakingas asmuo (Sistemos valdytojas). Jeigu nėra interesų konflikto, Sistemos valdytojas gali vykdyti šią funkciją kartu su kitomis Xxxxxxxxx užduotimis.

2.4 Tam tikros Sistemos valdytojo funkcijos gali būti perduotos Bendrovės atsakingiems asmenims arba kitiems darbuotojams. Tai apima atvejus, kai Sistemos valdytojas gali laikinai nevykdyti savo funkcijų arba kai pranešimas yra susijęs su Sistemos valdytoju arba su Sistemos valdytoju susijusiu asmeniu. Visais atvejais turi būti imamasi būtinų priemonių užtikrinti, kad toks paskyrimas atitiktų šioje tvarkoje nustatytus principus ir garantijas.

2.5 Sistemos valdytojas privalo dirbti nepriklausomai ir savarankiškai nuo kitų Bendrovės darbuotojų. Niekas negali nurodyti Sistemos valdytojui atlikti jam priskirtų funkcijų. Sistemos valdytojas privalo turėti visas šiai funkcijai atlikti būtinas asmenines ir materialines priemones.

3. TAIKYMO APIMTIS

Ši tvarka taikoma fiziniams asmenims (kiekvienas iš jų – Pranešimą teikiantis asmuo), kurie gavo informacijos apie pažeidimus darbe arba profesinėje aplinkoje. Pranešimą teikiančiu asmeniu gali būti:

(a) darbuotojas;

(b) savarankiškai dirbantis asmuo;

(d) the manuals, regulations, and other documents adopted by the Company.

2.2 The General Manager is responsible for the implementation of the System.

2.3 The System is managed by an executive (“System Manager”) appointed by the General Manager. The System Manager may perform this function along with other tasks in the Company if there is no conflict of interest.

2.4 Certain functions of the System Manager may be delegated to the Company’s executives or other employees. This includes cases when the System Manager may not temporarily perform their function or a report concerns the System Manager or a person associated with the System Manager. At all times, the necessary measures must be taken to ensure the compliance of such delegations with the principles and guarantees set out in this Procedure.

2.5 The System Manager must work independently and autonomously from the rest of the Company. No one may instruct the System Manager to carry out the function assigned to them. The System Manager must have all the personal and material means necessary to carry out the function.

3. PERSONAL SCOPE

This Procedure applies to natural persons (each a “reporting person”) who have obtained information about violations in a work or professional context. A reporting person can be:

(a) an employee;

(b) a self-employed person;

(c) shareholder, member, or a person belonging to the administrative, management or supervisory body of the

(c) akcininkas, narys arba asmuo, priklausantis bendrovės

administraciniam, valdymo ar priežiūros organui, įskaitant ir vadovaujančias pareigas neužimančius narius;

(d) asmuo, dirbantis rangovams, subrangovams ar tiekėjams arba jiems prižiūrint ir vadovaujant.

Šios tvarkos apsauga taikoma:

(a) savanoriams;

(b) stažuotojams; ir

(c) mokymuose

dalyvaujantiems darbuotojams, neatsižvelgiant į tai, ar jie gauna atlyginimą, ar ne.

Aukščiau esančios nuostatos taikomos ir asmenims, kurių darbo santykiai jau baigėsi (kai informacija apie pažeidimus buvo gauta darbo arba įstatymuose nustatytų santykių pagrindu) arba dar neprasidėjo (kai informacija apie pažeidimus buvo gauta atrankos arba derybų metu iki sutarties sudarymo).

Atitinkamais atvejais apsauga taip pat taikoma ir fiziniams asmenims, kurie gali nukentėti nuo atsakomųjų veiksmų ir kurie:

Company, including non- executive members;

(d) a person working for or under the supervision and direction of contractors,

subcontractors, or suppliers.

The protection of this Procedure extends to:

(a) volunteers;

(b) interns; and

(c) workers in training periods, regardless of whether or not they receive remuneration.

The above applies to persons whose employment relationship has already ended (where the information on breaches has been obtained in the framework of an employment or statutory relationship) or has not yet begun (where the information on breaches has been obtained in the pre- contractual selection or negotiation process).

Where appropriate, are also protected the natural persons who may suffer retaliation and who:

(a) within the Company, assist the reporting person;

(b) are related to a reporting person, such as co-workers, family members or relatives.

(a) Bendrovėje dirba pranešimą teikiančio asmens padėjėjais;

(b) yra susiję su pranešimą teikiančiu asmeniu, pavyzdžiui, yra tokio asmens bendradarbiai, šeimos nariai ar giminaičiai.

Teisinė apsauga taip pat taikoma ir:

(a) juridiniams asmenims, kuriuose dirba pranešimą teikiantis asmuo, šeimos

The legal protection further extends:

(a) to the legal entities with or in which a reporting person, family member, relative or colleague is employed; or

(b) to other subordinated legal entities in which family member, relative or colleague of reporting person is employed. This Procedure protects all other categories of reporting persons protected by Law.

narys, giminaitis arba kolega; arba

(b) kitiems pavaldiems juridiniams asmenims, kuriuose dirba pranešimą teikiančio asmens šeimos narys, giminaitis arba kolega. Šios tvarkos apsauga taikoma visų kitų kategorijų pranešimą teikiančius asmenis, kuriems apsauga taikoma ir pagal įstatymą.

4. SUPAŽINDINIMAS

Su šia tvarka turi būti supažindinti Bendrovės darbuotojai, ji turi būti patalpinama Bendrovės patalpose, taip pat patalpinta Bendrovės darbuotojams prieinamoje elektroninėje intraneto svetainėje adresu

xxxxx://xxxxxxxxx.xxxxxxxxxx.xxx, taip pat gali būti skelbiama ir kituose šaltiniuose.

5. PAŽEIDIMAI, APIE KURIUOS PRANEŠAMA

5.1 Vidiniai informacijos apie pažeidimus teikimo kanalai yra skirti pranešimams (toliau – Pranešimas arba Pranešimai) apie šiuos pažeidimus (toliau kiekvienas

- Pažeidimas), kuriais siekiama apsaugoti viešąjį interesą:

a) Bet kokie veiksmai ar neveikimas, kurie gali būti laikomi Europos Sąjungos teisės pažeidimu, jeigu:

Jie patenka į 2019 m. spalio 23 d. Europos Parlamento ir Tarybos direktyvos (ES) 2019/1937 dėl asmenų, pranešančių apie Sąjungos teisės pažeidimus, apsaugos priede išvardintų Europos Sąjungos teisės aktų taikymo sritį, neatsižvelgiant į vidaus teisės sistemoje esantį kvalifikavimą šiose srityse:

viešieji pirkimai;

4. AWARENESS

This Procedure must be delivered to the Company’s employees, displayed at the Company’s premises, be present at the electronic intranet resource available for the Company’s employees at xxxxx://xxxxxxxxx.xxxxxxxxxx.xxx, and may be published through other sources.

5. BREACHES TO BE REPORTED

5.1 The internal information channels are designated for receiving reports (“Report” or “Reports”) on the following breaches (each a “breach”) protecting public interest:

a) Any actions or omissions that may constitute infringements of the European Union Law provided that:

They fall within the scope of application of the acts of the European Union listed in the annex to Directive (EU) 2019/1937 of the European Parliament and of the Council, of October 23, 2019, on the protection of persons that report on violations of Union Law, regardless of the classification made by the domestic legal system, concerning the following areas:public procurement;

financial services, products and markets, and prevention of money laundering and terrorist financing;

finansinės paslaugos, produktai ir rinkos, pinigų plovimo ir teroristų finansavimo prevencija;

gaminių sauga ir atitiktis; transporto sauga; aplinkos apsauga;

radiacinė sauga ir branduolinė sauga;

maisto ir pašarų sauga, gyvūnų sveikata ir gerovė;

visuomenės sveikata; vartotojų apsauga;

privatumo ir asmens duomenų apsauga, tinklų ir informacinių sistemų saugumas;

2. Daro poveikį Europos Sąjungos finansiniams interesams, kaip nurodyta Sutarties dėl Europos Sąjungos veikimo (SESV) 325 straipsnyje ir išsamiau apibūdinta susijusiose Europos Sąjungos priemonėse, arba

3. Daro poveikį vidaus rinkai, kaip nurodyta Sutarties dėl SESV 26 straipsnio 2 dalyje, įskaitant Europos Sąjungos konkurencijos ir valstybės pagalbos taisyklių pažeidimus, taip pat su vidaus rinka susijusius pažeidimus dėl veiksmų, kuriais pažeidžiamos pelno mokesčio taisyklės, arba susitarimus, kuriais siekiama įgyti mokestinį pranašumą, kenkiantį taikytinos pelno mokesčio teisės dalykui arba tikslu.

b) įstatyme nurodyti pažeidimai:

pavojus visuomenės saugumui ar sveikatai, asmens gyvybei ar sveikatai;

pavojus aplinkai;

kliudymas arba neteisėtas poveikis teisėsaugos institucijų atliekamiems tyrimams ar teismams vykdant teisingumą;

neteisėtos veiklos finansavimas;

product safety and compliance; transport safety;

protection of the environment;

radiation protection and nuclear safety;

food and feed safety, animal health and welfare;

public health; consumer protection;

protection of privacy and personal data, security of network, and information systems;

2. Affect the financial interests of the European Union, as contemplated in article 325 of the Treaty on the Functioning of the European Union (TFEU); or

3. Affect the internal market, as contemplated in Article 26, paragraph 2 of the TFEU, including infringements of the European Union rules on competition and aid granted by States, as well as relative infringements to the internal market in relation to acts that infringe corporate tax rules or practices whose purpose is to obtain a tax advantage that undermines the object or purpose of the legislation applicable to corporate tax.

b) breaches indicated in the Law:

risk to public safety or health or to the life or health of a person;

risk to the environment;

obstruction of or unlawful interference with investigations by law enforcement authorities or the administration of justice by the courts;

financing of unlawful activities;

illegal or non-transparent use of public funds or property;

illegally acquired property;

concealment of the consequences of the offence committed,

neteisėtas ar neskaidrus viešųjų lėšų arba turto naudojimas;

neteisėtu būdu įgytas turtas;

padaryto pažeidimo padarinių slėpimas, kliudymas nustatyti padarinių mastą;

kiti pažeidimai.

c) Veiksmai arba neveikimas, kurie gali būti laikomi sunkiu arba labai sunkiu baudžiamuoju nusikaltimu ar administraciniu pažeidimu. Bet kuriuo atveju laikoma, kad tai taip pat apima ir visus sunkius arba labai sunkius baudžiamuosius nusikaltimus ar administracinius pažeidimus, dėl kurių valstybės biudžetas ir socialinė apsauga patiria ekonominių nuostolių.

5.2 Vidiniai informacijos apie pažeidimus teikimo kanalai neturėtų būti naudojami skundams dėl tarpasmeninių konfliktų teikti. Jie taip pat neturėtų būti naudojami norint pranešti apie asmeninius nusiskundimus ar pateikti informaciją, kuri yra susijusi tik su pranešimą teikiančiu asmeniu ir su asmenimis, kuriems pranešimas yra skirtas. Taip pat nepriimtina ir informacija, kuri jau yra viešai prieinama visuomenei arba kuri yra paremta tik gandais. Šios tvarkos pagrindu nepriimtini ir pranešimai apie veiksmus ar neveikimą, kurie nepatenka į šios tvarkos taikymo sritį arba kurie nėra susiję su darbu ar profesine veikla.

6. INFORMACIJOS APIE PRANEŠIMUS TEIKIMO KANALAI

Vidiniai informacijos apie

pranešimus teikimo kanalai

6.1 Xxxxxxxx yra įsteigusi kelis pranešimų apie pažeidimus teikimo kanalus.

Jeigu pranešimą teikiantis asmuo turi pagrįstų priežasčių manyti, kad pažeidimas, patenkantis į šios tvarkos taikymo sritį, buvo padarytas arba yra daromas ir kad pranešimo apie pažeidimą teikimo metu pateikta

obstruction of the determination of the extent of the consequences

other breaches.

d) Actions or omissions that may constitute a serious or very serious criminal or administrative offence. In any case, all serious or very serious criminal or administrative infractions that imply economic loss for the Public Treasury and Social Security will be understood to be included.

5.2 The internal information channels should not be used for complaints about interpersonal conflicts. They should not be used as well for reporting personal grievances or information that affects only the reporting person and the people to whom the reporting refers. Information that is already completely available to the public or that constitutes mere rumours is also inadmissible. As per this Procedure, we do not admit Reports on actions or omissions that are not covered by the scope of this Procedure or are outside of work- or professional- related context.

6. INFORMATION CHANNELS Internal information channels

6.1 The Company has established several reporting channels.

If a reporting person has reasonable grounds to believe that a breach that falls within the scope of this Procedure has occurred or is occurring and that the reported information is true at the time of reporting, even without conclusive evidence, such person is encouraged to promptly make a Report. Such a Report may be made in writing by one of the following means:

informacija yra teisinga, net jeigu ir nėra įtikinamų įrodymų, toks asmuo raginamas nedelsiant pateikti pranešimą. Tokia ataskaita gali būti pateikiama raštu vienu iš šių būdų:

- el.paštu: xxxxxxxxxxxx@xxxxxxxxxxx.xx

- arba

- paštu šiuo adresu:

UAB “RETAL BALTIC FILMS

Sistemos valdytojui Pramonės g. 14, Klaipėda

LT- 94102, Lietuvos Respublika

- asmeniškai;

Pranešimą teikiančio asmens prašymu pranešimas Sistemos valdytojui gali būti pateikiamas asmeniškai žodžiu. Fizinio susitikimo galima prašyti bet kuriuo kanalu arba tiesiogiai susisiekus su Sistemos valdytoju. Sistemos valdytojas privalo surengti tiesioginį susitikimą per septynias dienas nuo prašymo gavimo momento.

Pranešimus apie Sistemos valdytoją asmeniškai paštu Bendrovės adresu arba tiesioginio susitikimo metu gauna Generalinis direktorius,.

6.2 Bet kuris asmuo, išskyrus asmenis, kurie yra įgalioti priimti pranešimus pagal šią tvarką, kuris gauna pranešimą, privalo nedelsdamas jį persiųsti Sistemos valdytojui per vieną iš nurodytų informacijos teikimo kanalų. Siunčiant duomenis turi būti imamasi atsargumo priemonių, kad būtų apsaugoti pranešimo turinio konfidencialumas ir slaptumas. Šio reikalavimo pažeidimas turi būti tiriamas ir už jį gali būti taikomos drausminės sankcijos.

Išoriniai informacijos teikimo kanalai

6.3 Apie bet kokį veiksmą ar neveikimą, patenkantį į šios tvarkos ir įstatymo taikymo sritį, gali būti pranešama ir

- by email at: xxxxxxxxxxxx@xxxxxxxxxxx.xx; or

- by post mail to the following address:

UAB “RETAL BALTIC FILMS

Attention System Manager Pramonės

g. 14, Klaipėda

LT-94102, Republic of Lithuania

- in person;

At the request of the reporting person, a Report may be made orally to the System Manager in person. Appointments for a physical meeting may be made through any of the channels or by contacting the System Manager directly. The System Manager must organise a face-to-face meeting within seven days of receiving the request.

Reports concerning the System Manager are received by the Chief Executive Officer personally, by post sent to the Company’s address or at a face-to-face meeting.

6.2 Any person other than the persons authorised to receive reports under the Procedure who receives a Report must immediately forward it through one of the designated information channels to the System Manager. Care must be taken when sending to protect personal data, confidentiality, and secrecy of the Report`s content. A violation of this requirement must be investigated and may lead to disciplinary sanctions.

External information channels

6.3 Any action or omission within the scope of this Procedure and Law may be reported externally. An external Report may be sent either directly to the external reporting channel. Exhibit 1 contains a list of the external reporting

išoriniais kanalais. Išorinis pranešimas gali būti siunčiamas tiesiogiai į išorinį pranešimų teikimo kanalą. Priede Nr. 1 pateikiamas išorinių pranešimų teikimo kanalų, kuriais buvo galima naudotis šios tvarkos patvirtinimo metu, sąrašas.

7. VEIKIMAS

7.1 Pranešimų gavimas

Pranešimai gali būti teikiami raštu arba žodžiu. Viena iš galimybių – siųsti pranešimą užpildant šiam tikslui skirtą anketą. Taip pat priimtina pranešimus siųsti laisva pranešimą teikiančio asmens pasirinkta forma. Pranešimai gali būti siunčiami paštu, el. paštu arba įteikiami asmeniui, kuris yra įgaliotas priimti pranešimus pagal šią tvarką.

Pranešimai, pateikti tiesioginio susitikimo metu, turi būti dokumentuojami vienu iš žemiau nurodytų būdų, gavus išankstinį pranešimą teikiančio asmens sutikimą:

– užfiksuojant pokalbį saugiu, patvariu ir prieinamu formatu; arba

– Sistemos valdytojui užtikrinus išsamią ir tikslią pokalbio stenogramą, sudarant galimybę pranešimą pateikusiam asmeniui patikrinti, ištaisyti pokalbio stenogramą ir patvirtinti ją parašu.

Pranešimą pateikęs asmuo informuojamas, kad jo duomenys bus tvarkomi laikantis 2016 m. balandžio 27

d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 ir 1996 m. birželio 11 d. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 nuostatų.

7.2 Pranešimų registravimas

Visi gauti pranešimai turėtų būti laiku įrašyti į pranešimų registracijos žurnalą, tvarkomą pagal šios tvarkos nuostatas.

7.3 Pranešimų vertinimas

7.3.1 Jeigu pranešimas yra išsamus ir aktualus, ji turi būti įvertintas per pagrįstą laikotarpį nuo jo gavimo momento. Jeigu

channels existing at the time of the adoption of this Procedure.

7. OPERATION

7.1 Receiving of Reports

Reports may be made in writing or verbally. One option is to send a Report by filling in the form designed for this purpose. It is also acceptable to send reports in a free form chosen by a reporting person. Reports may be sent by post or email or delivered to the hands of the person authorised to receive Reports as per this Procedure.

Reports made through a face-to-face meeting must be documented in one of the following ways, with the prior consent of the reporting person:

- by recording the conversation in a secure, durable and accessible format; or

- through a complete and accurate transcription of the conversation carried out by the System Manager, offering the reporting person the opportunity to verify, rectify and accept the transcription of the conversation by signing.

The reporting person will be informed that their data will be processed in compliance with Regulation (EU) 2016/679 of the European Parliament and of the Council, of April 27, 2016, and Personal Data Legal Protection Law of Republic of Lithuanian No. Nr. I-1374 dated 11 June 1996.

7.2 Registration of Reports

All Reports received should be timely entered into a record book maintained as per this Procedure.

7.3 Assessment of Reports

7.3.1 If the Report is complete and relevant, it will be assessed within a reasonable time from its receipt. If the information is

informacijos nepakanka, pranešimą pateikusio asmens gali būti paprašyta pateikti daugiau informacijos.

7.3.2 Atlikus kruopštų įvertinimą, priimamas vienas iš šių sprendimų:

i. užbaigti bylą kaip nepriimtiną ir neatliekant jokio tyrimo, jeigu yra viena iš šių priežasčių:

a) faktai, apie kuriuos pranešta, nėra įtikinami;

b) faktai, apie kuriuos pranešta, nėra pažeidimas, kuris patenka į šios tvarkos taikymo sritį;

C) pateikta informacija akivaizdžiai nepagrįsta arba yra racionalių požymių, jog ji buvo gauta įvykdžius nusikaltimą;

d) pranešime nėra naujos ar svarbios informacijos apie pažeidimą lyginant su ankstesniu pranešimu, kurio tvarkymas užbaigtas.

ii. imamasi arba prašoma imtis vienos ar daugiau preliminarių priemonių;

iii. atliekamas pranešimo tyrimas;

iv. nurodoma remtis kita tvarka; ir (arba)

v. Bendrovės vadovybei rekomenduojama informuoti teisėsaugos ar reguliavimo instituciją.

Teisėsaugos institucijoms turėtų būti pranešama apie kiekvieną pažeidimą, kuris galėtų būti laikomas administraciniu nusižengimu arba nusikaltimu, ne vėliau kaip per dvi darbo dienas nuo pranešimo gavimo dienos.

Pranešimas valdžios institucijoms pateikiamas, jeigu nepažeidžiamas fizinių ir (arba) juridinių asmenų, kuriems

not enough, the reporting person may be asked for more information.

7.3.2 Upon careful assessment, one of the following decisions will be taken:

i. conclude the case as inadmissible without investigation if one of the following reasons exists:

a) the facts reported lack any plausibility;

b) the facts reported do not constitute a breach covered by the Procedure;

c) the reported information manifestly lacks foundation, or there are rational indications that it has been obtained through the commission of a crime;

d) the report does not contain new or significant information about a breach compared to a previous communication processing of which has been concluded.

ii. take or request taking of one or more preliminary measures;

iii. investigate the Report;

iv. refer to a different procedure; and/or

v. recommend the Company’s management to inform law enforcement or regulatory authority.

Every breach that could constitute an administrative offence or crime should be reported to law enforcement authorities not later than two business from the report receipt date.

The communication to the authorities shall be made provided that it does not violate the legality or the fundamental rights of the natural and/or legal persons

atitinkami faktai gali turėti įtakos, teisėtumas arba pagrindinės teisės.

7.4 Pranešimo gavimo patvirtinimas

Ne vėliau kaip per dvi darbo dienas nuo pranešimo gavimo momento Sistemos valdytojas praneša pranešimą pateikusiam asmeniui raštu apie pranešimo gavimą.

7.5 Pranešimų nagrinėjimas. Tyrimas

7.5.1 Stengsimės ištirti kiekvieną pranešimą, kuris bus priimtas.

7.5.2 Sistemos valdytojas paskirs kompetentingą ir nešališką tyrėją. Jeigu pranešimas yra susijęs su Sistemos valdytoju, tyrėją skiria kitas Bendrovės vadovas, kuris nėra suinteresuotas tyrimo rezultatais.

7.5.3 Tyrėjai neturi būti asmeniškai suinteresuoti tyrimo rezultatais. Suinteresuotas tyrėjas privalo nusišalinti nuo tyrimo ir raštu pranešti apie tai asmeniui, kuris leido atlikti tyrimą, kai tik sužino apie savo suinteresuotumą.

7.5.4 Atlikdami bet kokį pranešimo tyrimą, turėtume laikytis tinkamo proceso. Juo turėtų būti siekiama įvertinti visus faktus atsižvelgiant į jų sudėtingumą. Tyrimo metu siekiama nustatyti visus pažeidimus, patenkančius į šios tvarkos taikymo sritį, ir visus už juos atsakingus asmenis. Tyrimo metu taip pat turėtų būti nustatyti ir tie asmenys, kurie padėjo arba gavo naudos.

7.5.5 Tyrėjas gali susipažinti su Bendrovės dokumentais ir informacija, lankytis patalpose ir susitikti su darbuotojais, įskaitant ir rengti konfidencialius susitikimus.

7.5.6 Atlikus tyrimą, parengiama raštiška ataskaita, su kuria turėtų būti supažindintas tyrimą sankcionavęs asmuo.

7.5.7 Sistemos valdytojas, išnagrinėjęs pranešimą pateikusio asmens pateiktą informaciją, ne vėliau kaip per 10 darbo dienų nuo informacijos gavimo

who may be affected by the facts in question.

7.4 Acknowledgment of receipt of a Report

The System Manager shall acknowledge to the reporting person receipt of the Report to the reporting person in writing not later than within two business days of receipt.

7.5 Addressing Reports. Investigation

7.5.1 We will endeavour to investigate every admissible Report.

7.5.2 The System Manager will appoint a competent and impartial investigator. If the Report concerns the System Manager, the investigator will be appointed by another executive of the Company, who has no interest in the outcome of the investigation.

7.5.3 The investigators must not have a personal interest in the results of the investigation. An interested investigator must abstain from the investigation and Report that in writing to the person who authorised the investigation as soon as they become aware of their interest.

7.5.4 In any investigation of a Report, we should follow due process. It should aim to assess all the facts in their complexity. It seeks to find all the breaches that fall in the scope of this Procedure and all the people responsible for them. It should also identify those who helped or benefited.

7.5.5 An investigator may access the Company’s documents and information, visit premises, and meet employees, including confidential meetings.

7.5.6 An investigation should result in a Report made in writing and brought to the attention of the person who authorised the investigation.

7.5.7 The System Manager after examining the information submitted by the reporting person shall, not later than 10

patvirtinimo praneša pranešimą pateikusiam asmeniui apie jo pateiktos informacijos nagrinėjimo eigą (planuojamus ar atliktus veiksmus ir tokių veiksmų pagrindimą) arba apie atsisakymą nagrinėti tokią informaciją.

7.6 Tyrimų rezultatai

7.6.1 Nustačius pažeidimą, Bendrovė turėtų:

- imtis tinkamų priemonių pažeidimui pašalinti,

- atitinkamam (-iems) asmeniui (- ims) taikyti tinkamas sankcijas; ir (arba)

- Prireikus, perduoti informaciją atitinkamoms institucijoms.

7.6.2 Dėl pažeidimų atitinkamam asmeniui gali būti taikomos drausminės priemonės. Tokie veiksmai turi atitikti įstatymus, kitus teisės aktus ir bendrovės politiką.

7.6.3 Xxxxxxxx, kuris pateikė melagingą pranešimą, taip pat turėtų būti taikomos drausminės priemonės.

7.7. Atsakymas

Tiek, kiek būtina, pranešimą pateikusiam asmeniui gali būti suteikta informacija apie veiksmus, kurių ketinama imtis arba kurių buvo imtasi, ir apie tokių veiksmų priežastis.

8. KONFIDENCIALUMAS

8.1 Bet kuris pranešimą teikiantis asmuo turi teisę neatskleisti savo tapatybės trečiosioms šalims. Išskyrus atvejus, kai to reikalaujama pagal įstatymus arba yra gautas aiškus sutikimas, pranešimą pateikusio asmens arba susijusio asmens tapatybės neatskleisime tiems, kuriems jos žinoti nereikia.

8.2 Siekdami apsaugoti bet kurio susijusio asmens tapatybę, imsimės veiksmų, kad jų duomenys būtų konfidencialūs, ypač pranešimą pateikusio asmens, kurio

business days from the acknowledgement of receipt of the information, inform reporting person of the progress of the examination of the information submitted by him/her (the actions planned or carried out and the justification for such actions), or of the refusal of to examine such information.

7.6 Outcome of investigations

7.6.1 Where a breach is found, the Company should:

- take the appropriate measures to resolve the breach,

- take appropriate sanctions to the person(s) concerned; and/or

- refer matters to relevant authorities, where appropriate.

7.6.2 Breaches may warrant disciplinary action against the person concerned. Such action must comply with the laws, regulations, and the Company’s policies.

7.6.3 The person who made a false Report should also face disciplinary action.

7.7. Feedback

To the extent necessary, the reporting person may be provided with information on the action envisaged or taken as follow-up and on the grounds for such follow-up.

8. CONFIDENTIALITY

8.1 Anyone who submits a Report has the right to keep their identity undisclosed to third parties. Unless required by law or explicitly consented, we will not disclose the identity of the reporting person or a person concerned to anyone who does not need to know.

8.2 To protect the identity of any individual involved, we will take steps to keep their data confidential, especially the reporting person whose identity may only be communicated to the judicial

tapatybė gali būti perduota tik teisminei institucijai, prokuratūrai arba kompetentingai administracinei institucijai, kai atliekamas baudžiamasis, drausminis ar sankcijų skyrimo tyrimas.

8.3 Atitinkamas asmuo jokiomis aplinkybėmis negali būti informuojamas apie pranešimą pateikusios asmens tapatybę.

8.4 Konfidencialumo prievolės netaikomos šiais atvejais:

8.4.1 Pranešimą pateikęs asmuo, kuris pateikė informaciją apie pažeidimą, to pareikalavo raštu;

8.4.2 Pranešimą pateikęs asmuo, kuris pateikė informaciją apie pažeidimą, sąmoningai pateikia melagingą informaciją.

9. SLAPTUMAS

9.1 Sistemoje dokumentuota informacija lieka konfidenciali. Tai apima pranešimo turinį, gavimo duomenis, patvirtinimą, vertinimą, tyrimą, išvadas ir atsakymą. Tam tikrais atvejais privalome dalytis šia informacija, kad galėtume atlikti tyrimą, imtis veiksmų arba laikytis teisės aktų.

9.2 Prie sistemos gali prisijungti tik įgalioti darbuotojai. Išimtiniais atvejais prieiga prie sistemos gali būti suteikiama trečiosioms šalims, kaip to reikalaujama įstatymuose, tačiau tokiu atveju taikomos tinkamos apsaugos priemonės.

10. ASMENS DUOMENŲ TVARKYMAS

10.1 Asmens duomenys pagal šią tvarką turi būti tvarkomi laikantis principų ir taisyklių, nustatytų Bendrovei taikomuose asmens duomenų apsaugos įstatymuose ir kituose teisės aktuose. Priede Nr. 2 pateikiama informacija apie asmens duomenų apsaugą ir teisių įgyvendinimą.

authority, the Prosecutor's Office, or the competent administrative authority in a criminal, disciplinary, or sanctioning investigation.

8.3 A person concerned must under no circumstances be informed of the reporting person's identity.

8.4 The confidentiality obligations do not apply in the following cases:

8.4.1 Reporting person submitting information about the Breach requested so in writing;

8.4.2 Reporting person submitting information about the Breach provides knowingly false information.

9. SECRECY

9.1 The System’s documented information will stay confidential. This includes Report content, receipt details, acknowledgement, assessment, investigation, conclusion, and feedback. Sometimes, we must share this information for investigation, action, or law compliance.

9.2 Only authorised personnel may access the System. In exceptional cases, it may be shared with third parties as required by law, with appropriate safeguards.

10. PROCESSING OF PERSONAL DATA

10.1 The processing of personal data under this Procedure must be done in accordance with the principles and rules provided for in the personal data protection laws and regulations applicable to the Company. Exhibit 2 contains information on the protection of personal data and the exercise of rights.

10.2 Asmens duomenys, kurie nėra būtini žinoti arba nėra būtini tyrimui, nebus tvarkomi. Tam tikrais atvejais jie turi būti nedelsiant ištrinti. Be to, turi būti ištrinti ir visi asmens duomenys, susiję su elgesiu, kuris nepatenka į įstatymo taikymo sritį.

10.3 Gautoje informacijoje gali būti vienai iš specialių kategorijų priklausantys asmens duomenys. Tokia informacija turi būti nedelsiant ištrinta jos neįregistravus ir netvarkant.

10.4 Jeigu įrodoma, kad pateikta informacija arba jos dalis yra neteisinga, ji turi būti nedelsiant ištrinta, kai tik tokios aplinkybės paaiškėja. Tai netaikoma tais atvejais, kai toks tikrovės neatitikimas gali būti laikomas nusikaltimu. Tokiu atveju informaciją turime saugoti tiek laiko, kiek reikalauja teisinis procesas.

10.5 Prieiga prie sistemoje esančių asmens duomenų turi būti suteikiama tik:

a) Sistemos valdytojui ir jo tiesioginiam vadovui;

b) xxxxxxxx, kuris yra atsakingas už žmogiškuosius išteklius, arba tinkamai paskirtai kompetentingai įstaigai, tačiau tik tais atvejais, kai darbuotojui gali būti taikomos drausminės priemonės;

c) xxxxxxxx, kuris yra atsakingas už teisines funkcijas Bendrovėje, jeigu teisinių priemonių taikymas yra tinkamas atsižvelgiant į pranešime nurodytus faktus;

d) už asmens duomenų tvarkymą paskirtiems atsakingiems asmenims; arba

e) duomenų apsaugos pareigūnui.

10.6 Kitų asmenų vykdomas asmens duomenų tvarkymas arba jų perdavimas trečiosioms šalims yra teisėtas, kai tai būtina, siekiant kad Bendrovė imtųsi taisomųjų priemonių, laikydamasi atitinkamos drausminės arba baudžiamosios procedūros.

10.2 In no case will personal data not necessary for the knowledge or investigation be subject to processing. Where appropriate, it must be immediately deleted. Likewise, all personal data that refers to conduct that is not within the scope of Law must be deleted.

10.3 The information received may contain one of the special categories of personal data. Such information must be immediately deleted without its registration or processing.

10.4 If it is proven that the information provided or part of it is untrue, it must be immediately deleted as soon as such circumstance comes to light. This does not apply where such a lack of truthfulness may constitute a crime. In this case, we must keep the information for as long as necessary for the legal proceedings.

10.5 Access to personal data contained in the System must be limited exclusively to:

a) the System Manager and whoever manages it directly;

b) a person responsible for human resources or a duly designated competent body only when disciplinary measures could be adopted against an employee;

c) a person responsible for the legal function in the Company if the adoption of legal measures is appropriate in relation to the facts reported in the communication;

d) persons in charge of the processing of personal data that may be appointed from time to time; or

e) the data protection officer.

10.6 The processing of personal data by other people or its communication to third parties is lawful when it is necessary for taking a corrective measure in the

10.7 Tvarkomi duomenys sistemoje gali būti saugomi tik tiek laiko, kiek reikia, kad būtų galima nuspręsti, ar pradėti įvykių, apie kuriuos pranešta, tyrimą.

10.8 Praėjus trims mėnesiams nuo pranešimo, dėl kurio nusprendžiama tyrimo neatlikti, gavimo momento, gauti asmens duomenys turi būti ištrinti, išskyrus atvejus, kai jie yra būtini sistemos veikimui. Netvarkomi pranešimai gali būti registruojami tik anonimiškai.

10.9 Darbuotojams ir trečiosioms šalims turi būti pranešta apie asmens duomenų tvarkymą sistemoje. Darbuotojams ir trečiosioms šalims skirtame pranešime turi būti pateikta informacija ir jis turi būti parengtas tokia pačia arba iš esmės panašia forma, kaip nurodyta šioje tvarkoje.

11. ATSAKOMŲJŲ VEIKSMŲ DRAUDIMAS

11.1 Aiškiai pasisakome prieš kokios formos atsakomuosius veiksmus. Tai apima bet kokius veiksmus ar neveikimą, kurie nėra leidžiami pagal įstatymus arba kurie tiesiogiai ar netiesiogiai yra susiję su tokiu netinkamu elgesiu, dėl kurio asmenys, kurie dėl savo, kaip pranešimą pateikusių asmenų, statuso arba dėl to, kad jie viešai atskleidė informaciją, atsiduria ypač nepalankioje padėtyje, lyginant su kitu asmeniu darbo ar profesinėje aplinkoje.

11.2 Atsakomuosius veiksmus laikome pažeidimu. Stengsimės tinkamai ištirti kiekvieną atsakomojo veiksmo taikymo atvejį. Atsakomuosius veiksmus taikiusiam asmeniui gali būti taikoma drausminė arba kita tinkama priemonė taip, kaip reikalaujama pagal įstatymą.

11.3 Bet kuris pranešimą pateikęs asmuo, kuris nukentėjo nuo atsakomųjų veiksmų, turėtų apie tai pranešti bet kuriuo vidiniu informacijos apie

Company, holding the appropriate disciplinary or criminal procedure.

10.7 The data that is subject to processing may be kept in the System only for the time necessary to decide whether to initiate an investigation into the reported events.

10.8 After three months from receipt of a Report without investigation, the personal data received must be deleted unless necessary for the System’s operation. Reports that have not been processed may only be recorded in anonymised form.

10.9 Employees and third parties must be notified of the processing of personal data within the System. A notice must include the information and should be made in a form that is the same or substantially similar to the one included in the Procedure.

11. PROHIBITION OF RETALIATION

11.1 We expressly prohibit any form of retaliation. This includes any acts or omissions that are not permitted by law or that, directly or indirectly, involve unfavourable treatment that places the persons who suffer them at a particular disadvantage concerning another in the labour or professional context solely because of their status of reporting persons or because they have made a public disclosure.

11.2 We treat retaliation as a breach itself. We will endeavour to investigate every retaliatory act duly. A retaliator may face a disciplinary or another appropriate action, as the law requires.

11.3 Any reporting person who suffers retaliatory conduct should report through any of the internal information channels.

pažeidimus teikimo kanalu.

12. PRANEŠIME NURODYTŲ ASMENŲ APSAUGA

Asmenys, kuriems yra nurodyti pranešime (toliau – pranešime nurodyti asmenys), turi teisę būti laikomi nekaltais. Jie taip pat turi teisę gintis ir susipažinti su byla, kaip to reikalauja įstatymai. Jų tapatybė bus apsaugota, o faktai ir duomenys bus konfidencialūs.

13. ĮRAŠŲ SAUGOJIMAS

13.1. Gauti pranešimai ir atitinkama informacija, įskaitant ir vertinimo bei tyrimo rezultatus, turi būti registruojami registracijos žurnale (toliau – registracijos žurnalas).

13.2. Registracijos žurnalas neturi būti viešas. Jis gali būti atskleistas tik motyvuotu kompetentingos teisminės institucijos prašymu, nutartimi, teismo proceso metu ir teismo priežiūra.

13.3. Pranešimai ir susiję dokumentai, įskaitant jose esančius asmens duomenis, turi būti saugomi saugiu, patvariu ir prieinamu formatu. Jie turi būti saugomi tik tiek laiko, kiek reikia pranešimui išnagrinėti, ir bet kuriuo atveju ne ilgiau kaip penkerius metus nuo pranešimo nagrinėjimo proceso pabaigos. Tai netaikoma tais atvejais, kai pagal įstatymą arba atitinkamame teismo procese reikalaujama šį terminą pratęsti.

14. TVARKOS NESILAIKYMAS

Tvarkos nesilaikymas turi būti tiriamas ir dėl to gali kilti drausminė ir (arba) kitokia atsakomybė, vadovaujantis teisės aktų reikalavimais.

12. PROTECTION OF PERSONS CONCERNED

The individuals affected by a Report (“persons concerned”) have the right to be presumed innocent. They also have the right to defend themselves and access the file as the law requires. Their identity will be protected, and the facts and data will be kept confidential.

13. RECORD KEEPING

13.1. Reports received and the relevant information, including the results of the assessment and investigation, must be entered into a register (“record book”).

13.2. The record book must not be public. It may only be disclosed at the reasoned request of the competent judicial authority, by means of an order, within the judicial proceedings, and under its supervision.

13.3. Reports and the related documentation, including personal data contained therein, must be kept in a secure, durable, and accessible format. It must be kept only for the time necessary to process the Report and, in any case, for no longer than five years from the date the reporting procedure ends. This does not apply where a more extended period is required by law or a required judicial procedure.

14. NON-COMPLIANCE

Failure to comply with the Procedure must be investigated and may result in disciplinary and/or other liability as per the applicable laws.

UAB “RETAL BALTIC FILMS

INFORMACIJOS VALDYMO TVARKA

Priedas Nr. 1

Išorinių informacijos apie

pažeidimus teikimo kanalų sąrašas

(i) Lietuvos Respublikos prokuratūra (xxxxx://xxxxxxxxxxxx.xx/xx).

UAB “RETAL BALTIC FILMS

INFORMATION MANAGEMENT PROCEDURE

Exhibit 1

List of external information channels

(ii) Prosecution Office of the Republic of Lithuania (xxxxx://xxxxxxxxxxxx.xx/xx).

UAB “RETAL BALTIC FILMS

INFORMACIJOS VALDYMO TVARKA

Priedas Nr. 2

Informacija apie asmens duomenų apsaugą ir teisių įgyvendinimą

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (toliau – Reglamentas (ES) 2016/679) 13 straipsnyje nurodyta informacija,

ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas Nr. I-1374

Duomenų valdytojo ir, kai taikoma, duomenų valdytojo atstovo tapatybė ir kontaktiniai duomenys:	UAB “RETAL BALTIC FILMS Pramonės g. 00, Xxxxxxxx 00000, Xxxxxxxx xx Xxxxxxxxx tel.: x000 00 000000, el.paštas: xxxx@xxxxxxxxxxx.xx
Duomenų apsaugos pareigūno kontaktiniai duomenys, kai taikoma:	Netaikoma.
Duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis, ir duomenų tvarkymo teisinis pagrindas:	Duomenų tvarkymo tikslas: informacijos apie pažeidimus rinkimas ir tvarkymas. Duomenų tvarkymo teisinis pagrindas: Reglamento (ES) 2016/679 6 straipsnio 1 dalies a, c ir e punktai 2017 m. lapkričio 28 d. Lietuvos Respublikos pranešėjų apsaugos įstatymas Nr. XIII-804
Kai duomenų tvarkymas grindžiamas Reglamento (ES) 2016/679 6 straipsnio 1 dalies f punktu, teisėti interesai, kurių siekia duomenų valdytojas arba trečioji šalis:	Netaikoma.
Asmens duomenų gavėjai arba jų kategorijos, jei tokių yra:	Duomenų valdytojai, valdžios institucija, agentūra ar kita įstaiga, kuriai pagal taikomus įstatymus atskleidžiami asmens duomenys, asmenys, dalyvaujantys nagrinėjant pranešimus ir taikantys atitinkamas priemones.
Jeigu duomenų valdytojas ketina perduoti asmens duomenis trečiajai valstybei arba tarptautinei organizacijai ir jeigu Komisija priėmė sprendimą dėl tinkamumo arba netinkamumo, arba jeigu vykdomas perdavimas Reglamento (ES) 2016/679 46 straipsnyje arba 47 straipsnyje arba 49 straipsnio 1 dalies antroje pastraipoje nurodytais atvejais – nuoroda į tinkamas arba atitinkamas apsaugos priemones ir būdus, kuriais galima gauti šių apsaugos	Asmens duomenys gali būti perduodami trečiajai valstybei – Europos Sąjungos narei, Didžiajai Britanijai arba kitai valstybei ar tarptautinei organizacijai, jeigu toks perdavimas atitinka Reglamento (ES) 2016/679 nuostatas.

priemonių kopiją arba kur su jomis galima susipažinti:
Asmens duomenų saugojimo laikotarpis arba, jei tai nustatyti neįmanoma, kriterijai, pagal kuriuos tas laikotarpis nustatomas:	Duomenys bus saugomi tiek laiko, kiek reikia, kad būtų laikomasi įstatymų nuostatų, reglamentuojančių asmenų, pranešančių apie teisės aktų pažeidimus, apsaugą ir kovą su korupcija. Duomenys negali būti saugomi ilgiau kaip penkerius metus.
Teisė prašyti, kad duomenų valdytojas leistų susipažinti su asmens duomenimis, juos ištaisyti ar ištrinti, arba apriboti duomenų tvarkymą, arba nesutikti, kad duomenys būtų tvarkomi, taip pat teisė į duomenų perkeliamumą:	Turite teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis, juos ištaisyti ar ištrinti arba apriboti jų tvarkymą, arba nesutikti, kad duomenys būtų tvarkomi, taip pat turite teisę ir į duomenų perkeliamumą.
Kai duomenų tvarkymas grindžiamas Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktu arba 9 straipsnio 2 dalies a punktu, teisė bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui:	Jeigu duomenys tvarkomi pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą, turite teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui.
Teisę pateikti skundą priežiūros institucijai:	Turite teisę pateikti skundą šiai priežiūros institucijai: Valstybinė duomenų apsaugos inspekcija L. Sapiegos g. 17, LT-10312, Vilnius Lietuvos Respublikos xxx@xxx.xx xxxxx://xxxx.xxx.xx/xx/
Ar asmens duomenų teikimas yra įstatymo ar sutartinis reikalavimas, ar reikalavimas, kuris yra būtinas sutarčiai sudaryti, taip pat, ar duomenų subjektas privalo pateikti asmens duomenis ir ar supažindinama apie galimas tokių duomenų nepateikimo pasekmes:	Asmens duomenų teikimas nėra nei įstatyminis, nei sutartinis reikalavimas, nei būtinas sutarčiai sudaryti. Asmens duomenis pateikti privalote. Galimos tokių duomenų nepateikimo pasekmės gali būti susijusios su trukdymu tinkamai įvertinti jūsų pranešimą, atlikti tinkamą tyrimą ir imtis atitinkamų priemonių.
Ar užtikrinamas Reglamento (ES) 2016/679 22 straipsnio 1 ir 4 dalyse nurodytas automatizuotas sprendimų priėmimas, įskaitant profiliavimą, ir bent tais atvejais prasminga informacija apie susijusią logiką, taip pat tokio tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui:	Automatizuoto sprendimų priėmimo nėra.
Galimybė naudotis Reglamento (ES) 2016/679 15–22 straipsniuose nustatytomis	Turite teisę reikalauti duomenų ištaisymo, ištrynimo, duomenų tvarkymo apribojimo, teisę

teisėmis: prieštarauti automatizuotam individualių sprendimų priėmimui ir teisę į tai, kad nebūtų taikomas sprendimas, grindžiamas tik automatizuotu duomenų tvarkymu, kuris gali būti vykdomas tik Reglamente (ES) 2016/679 nustatyta apimtimi ir tvarka.

INFORMATION MANAGEMENT PROCEDURE

Exhibit 2

Information on the protection of personal data and the exercise of rights

Information referred to in Article 13 of Regulation (EU) 2016/679 of the European Parliament and of the Council, of April 27, 2016 (“Regulation (EU) 2016/679”),

and Law on Legal Protection of Personal Data of the Republic of Lithuania No. I-1374

The identity and the contact details of the controller and, where applicable, of the controller's representative:	UAB “RETAL BALTIC FILMS Pramonės g. 00, Xxxxxxxx XX-00000, Xxxxxxxx xx Xxxxxxxxx tel.: x000 00 000000, email: xxxx@xxxxxxxxxxx.xx
The contact details of the data protection officer, where applicable:	Not applicable.
The purposes of the processing for which the personal data are intended as well as the legal basis for the processing:	The purpose of processing: collection and processing of information on breaches. Legal basis for the processing: Articles 6.1. (a), (c), (e) of Regulation (EU) 2016/679 Whistleblowers Protection Law of the Republic of Lithuania No XIII-804 dated 28 November 2017
Where the processing is based on point (f) of Article 6(1) of Regulation (EU) 2016/679, the legitimate interests pursued by the controller or by a third party:	Not applicable.
The recipients or categories of recipients of the personal data, if any:	The data controllers, public authority, agency, or another body, to which the personal data are disclosed as per the applicable laws, persons engaged in the investigation of the reports and applying the respective measures.
The fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47 or the second subparagraph of Article 49(1), Regulation (EU) 2016/679 reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available:	Personal data may be transferred to a third country – a member of the European Union, Great Britain or another country or international organization subject to compliance of such transfer with the provisions of Regulation (EU) 2016/679.

The period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period:	The data will be stored for the time necessary for compliance with the provisions of Law , regulating the protection of people who report regulatory offences and the fight against corruption. The data may not be kept for a period greater than five years.
The existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability:	You have the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability.
Where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2) of Regulation (EU) 2016/679, the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal:	To the extent of the data processed as per point (a) of Article 6(1) or point (a) of Article 9(2) of Regulation (EU) 2016/679, you have the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal.
The right to lodge a complaint with a supervisory authority:	You have the right to lodge a complaint with a supervisory authority: State Data Protection Inspectorate L. Sapiegos g. 17, LT-10312, Vilnius Republic of Lithuania xxx@xxx.xx xxxxx://xxxx.xxx.xx/xx/
Whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data:	The provision of personal data is neither a statutory or contractual requirement nor a requirement necessary to enter into a contract. You are obliged to provide the personal data. Possible consequences of failure to provide such data may hinder the proper assessment of your report, due investigation and taking the appropriate measures.
The existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) of Regulation (EU) 2016/679 and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject:	Automated decision-making does not exist.
The possibility of exercising the rights established in Articles 15 to 22 of Regulation (EU) 2016/679:	You have the rights of access to rectification, erasure, restriction of processing, to object and automated individual decision-making and the

22

right not to be subject to a decision based solely on automated processing exercisable to the extent and in the order set out in Regulation (EU) 2016/679.