ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
UAB "Athletic City", įm. k. 302439127, parengtos ir patvirtintos UAB "Athletic City" direktoriaus 2018-05-23 įsakymu Nr.
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
1. Pagrindinės sąvokos
1.1. Bendrovė – reiškia UAB "Athletic City", įm. k. 302439127, pagal Lietuvos Respublikos įstatymus įsteigtą bendrovę, kurios registruota buveinė yra Šaltūnų g. 31A, Vilnius, Lietuvos Respublika, duomenys apie kurią kaupiami ir saugomi Juridinių asmenų registre.
1.2. Duomenų subjektas – reiškia fizinį asmenį, kurio asmens duomenis Bendrovė tvarko.
1.3. Asmens duomenys – reiškia bet kurią informaciją, susijusią su fiziniu ar juridiniu asmeniu – Duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens/įmonės kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
1.4. Asmens duomenų tvarkymas – reiškia bet kurį su Asmens duomenimis atliekamą veiksmą: rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, grupavimą, jungimą, keitimą (papildymą ar taisymą), teikimą, paskelbimą, naudojimą, logines ir/ar aritmetines operacijas, paiešką, skleidimą, naikinimą ar kitokį veiksmą arba veiksmų rinkinį.
1.5. Automatinis būdas - reiškia veiksmus, visiškai ar iš dalies atliekamus automatinėmis priemonėmis.
1.6. Darbuotojas – reiškia asmenį, kuris su Bendrove yra sudaręs darbo ar panašaus pobūdžio sutartį ir Bendrovės vadovo sprendimu yra paskirtas tvarkyti Asmens duomenis, arba tokios funkcijos yra tiesiogiai nulemtos jo darbo specifikos, arba, kurio pačio asmens duomenys yra tvarkomi.
1.7. Duomenų gavėjas - reiškia juridinį ar fizinį asmenį, kuriam teikiami Asmens duomenys. Duomenų gavėjas (-ai) turi būti registruojami Inspekcijoje.
1.8. Inspekcija – Lietuvos Respublikos Valstybinė duomenų apsaugos inspekcija.
2. Bendrosios nuostatos
2.1. Šis dokumentas reglamentuoja Bendrovės ir jos Darbuotojų veiksmus tvarkant Asmens duomenis, naudojant Bendrovėje įrengtas automatines Asmens duomenų tvarkymo priemones, taip pat nustato Duomenų subjektų teises, Asmens duomenų apsaugos pažeidimo rizikos veiksnius, Asmens duomenų apsaugos įgyvendinimo priemones ir kitus su Asmens duomenų tvarkymu susijusius klausimus.
2.2. Asmens duomenys turi būti tikslūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti. Jei reikia Asmens duomenų tvarkymui, Asmens duomenys nuolat atnaujinami.
2.3. Asmens duomenų tvarkymo tikslai – paslaugų teikimas ir teisėti bei iš anksto prieš renkant duomenis apibrėžti tikslai.
2.4. Bendrovė Taisyklių 2.3. punkte nurodytu tikslu tvarko tokius Duomenų subjektų Asmens duomenis:
(a) vardas;
(b) xxxxxxx;
(c) asmens kodas;
(d) gimimo data;
(e) adresas;
(f) gyvenamoji vieta;
(g) elektroninio pašto adresas;
(h) telefono numeris;
3. Asmens duomenų tvarkymas
3.1. Asmens duomenys tvarkomi pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.
3.2. Tvarkyti Asmens duomenis turi teisę tik Darbuotojai. Kiekvienas Darbuotojas, kuris paskirtas tvarkyti Asmens duomenis, privalo saugoti Asmens duomenų paslaptį ir laikytis asmens duomenų apsaugos teisės aktų reikalavimų.
3.3. Darbuotojas privalo:(a) saugoti Asmens duomenų paslaptį;(b) tvarkyti Asmens duomenis vadovaudamasis Lietuvos Respublikos įstatymais, kitais teisės aktais ir šiomis Taisyklėmis;
(c) neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti Asmens duomenų;
(d) nedelsiant pranešti Bendrovės vadovui ar jo paskirtam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Asmens duomenų saugumui.
3.4. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi Asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai, ne rečiau kaip vieneri metai, o taip pat susidarius tam tikroms aplinkybėms (pvz.: pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
3.5. Už kompiuterių priežiūrą atsakingas darbuotojas privalo užtikrinti, kad Asmens duomenų rinkmenos nebūtų „matomos“ (shared) iš kitų kompiuterių, o antivirusinės programos atnaujinamos periodiškai.
3.6. Atsakingas už kompiuterių priežiūrą darbuotojas daro kompiuteriuose esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas turi jas atstatyti ne vėliau kaip per kelias darbo dienas.
3.7. Asmens duomenų apsaugą organizuoja, užtikrina ir vykdo Bendrovės vadovas ar jo paskirtas Darbuotojas.
3.8. Darbuotojas netenka teisės tvarkyti Asmens duomenis, kai pasibaigia Darbuotojo darbo ar panašaus pobūdžio sutartis su Bendrove, arba kai Bendrovės vadovas atšaukia Darbuotojo paskyrimą tvarkyti Asmens duomenis.
3.9. Asmuo, kuris kreipiasi paslaugos, savo sutikimą dėl asmens duomenų: asmens kodo ar kt. duomenų naudojimo išreiškia sutikdamas gauti paslaugą, neatsižvelgiant į tai ar paslaugų teikimo susitarimas sudaromas žodžiu ar raštu. Tuo atveju, jei asmuo nesutinka duoti savo asmens kodo, ar kitos paslaugoms teikti reikalingos informacijos, paslaugos neteikiamos.
3.10. Bendrovei asmens duomenis gavus iš trečiojo asmens įstatymų ar sutarties pagrindu, Bendrovė neprisiima jokios turtinės ar neturtinės atsakomybės už tų duomenų teisingumą, ar dėl jų neteisingumo asmeniui sukeltų turtinių ar neturtinių pasekmių. Visi asmens duomenys tokiu atveju iš trečiųjų asmenų priimami ir tvarkomi tik teisėtais ir įstatymų numatytais atvejais.
4. Duomenų subjekto teisių įgyvendinimas
4.1. Duomenų subjektas, pateikdamas Xxxxxxxxx asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, ir kam jie teikiami. Galimybė susipažinti su Asmens duomenimis sudaroma pateikus Bendrovei rašytinį prašymą dėl susipažinimo su Asmens duomenimis paštu, ar el. paštu.
4.2. Bendrovė, gavusi Duomenų subjekto paklausimą dėl jo Asmens duomenų tvarkymo, atsako, ar su juo susiję Asmens duomenys yra tvarkomi, ir pateikia Duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo Duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys pateikiami raštu nurodytu adresu ar el. pašto adresu.
4.3. Galimybė ištaisyti, sunaikinti savo Asmens duomenis arba sustabdyti savo Asmens duomenų tvarkymo veiksmus Duomenų subjektui sudaroma pateikus Bendrovei rašytinį prašymą paštu ar el. paštu. Bendrovė nedelsdama patikrina asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nustačius duomenų subjekto prašymą pagrįstu nedelsdama, tačiau ne vėliau nei per 5 darbo dienas, sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, kol bus ištaisyti neteisingi, netikslūs, papildyti neišsamūs asmens duomenys ar asmens duomenys bus sunaikinti.
4. 4. Duomenų subjektui raštu pranešama apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą. Apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus Bendrovė informuoja asmens duomenų gavėjus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Inspekcijai.
4.5. Bendrovė užtikrina ir visas kitas Lietuvos Respublikos įstatymų ir kitų teisės aktų garantuojamas asmens duomenų subjektų teises, garantijas ir interesus.
5. Asmens duomenų perdavimas
5.1. Asmens duomenys gali būti teikiami tik tiems Duomenų gavėjams, su kuriais Xxxxxxxx yra pasirašiusi atitinkamas sutartis dėl Asmens duomenų perdavimo / teikimo įstatymuose numatytiems tikslams ir Duomenų gavėjas užtikrina adekvačią perduodamų Asmens duomenų apsaugą. Asmens duomenys taip pat gali būti perduodami tretiesiems asmenims kitais Lietuvos Respublikos įstatymuose ir kituose teisės aktuose numatytais atvejais ir tvarka.
5.2. Bendrovė neatskleidžia ypatingos asmeninės informacijos, tokios kaip informacija apie sveikatą, rasinę kilmę, religinius įsitikinimus ar politines pažiūras, paaiškėjusią paslaugų asmeniui teikimo metu, - be Duomenų subjekto aiškaus sutikimo, išskyrus atvejus, kai to reikalauja ar tai leidžia įstatymai.
5.3. Asmens duomenys taip pat gali būti perduodami tretiesiems asmenims kitais Lietuvos Respublikos įstatymuose ir kituose teisės aktuose numatytais atvejais ir tvarka.
6. Asmens duomenų apsaugos pažeidimo rizikos veiksniai
6.1. Asmens duomenų apsaugos pažeidimas – tai veiksmai ar neveikimas, kurie gali sukelti ar sukelia nepageidaujamus padarinius, taip pat prieštarauja imperatyvioms įstatymų, reglamentuojančių asmens duomenų apsaugą, normoms. Asmens duomenų apsaugos pažeidimo poveikio laipsnį, žalą ir padarinius kiekvienu konkrečiu atveju nustato Bendrovės vadovo ar jo įgalioto asmens sudaryta komisija.
6.2. Asmens duomenų apsaugos pažeidimo rizikos veiksniai:(a) netyčiniai, kai Asmens duomenų apsauga pažeidžiama dėl atsitiktinių priežasčių (duomenų tvarkymo klaidos, informacijos laikmenų, duomenų įrašų ištrynimo, sunaikinimo, neteisingų maršrutų (adresų) perduodant duomenis nustatymo ir pan., ar sistemų sutrikimai dėl elektros tiekimo nutrūkimo, kompiuterinio viruso ir pan., vidaus taisyklių pažeidimas, sistemos priežiūros trūkumas, programinės įrangos testai, netinkama duomenų
laikmenų priežiūra, netinkamas linijų pajėgumas ir apsauga, kompiuterių integravimas į tinklą, kompiuterinių programų apsaugos, nepakankamos fakso medžiagų tiekimas ir kt.);
(b) tyčiniai, kai Asmens duomenų apsauga pažeidžiama sąmoningai (neteisėtas įsibrovimas į Bendrovės patalpas, asmens duomenų laikmenų saugyklas, informacines sistemas, kompiuterių tinklą, piktybinis nustatytų taisyklių tvarkant Asmens duomenis pažeidimas, sąmoningas kompiuterinio viruso platinimas, Asmens duomenų vagystė, neteisėtas naudojimasis kito Darbuotojo teisėmis ir kt.); (c) netikėti atsitiktiniai įvykiai (žaibas, gaisras, potvynis, užliejimas, audros, elektros instaliacijos degimas, temperatūros ir/ar drėgmės pakitimų poveikis, purvo, dulkių ir magnetinių laukų įtaka, atsitiktinės techninės avarijos, kiti nenugalimi ir/ar nekontroliuojami veiksniai ir pan.).
7. Asmens duomenų apsaugos įgyvendinimo priemonės
7.1. Siekdama užtikrinti Asmens duomenų apsaugą, Bendrovė įgyvendina arba numato įgyvendinti šias Asmens duomenų apsaugos priemones:
(a) administracines (saugaus dokumentų ir kompiuterinių duomenų bei jų archyvų tvarkymo, taip pat įvairių veiklos sričių darbo organizavimo tvarkos nustatymas, personalo supažindinimas su Asmens duomenų apsauga įdarbinant ir pasibaigus darbo ar panašiems santykiams ir kt.);
(b) techninės ir programinės įrangos apsaugos (tarnybinių stočių, informacinių sistemų ir duomenų bazių administravimas, darbo vietų, Bendrovės patalpų priežiūra, operacinių sistemų apsauga, apsauga nuo kompiuterinių virusų ir kt.);
7.2. Visi Darbuotojai, turintys teisę tvarkyti Asmens duomenis ar organizuoti ir vykdyti jų apsaugą, privalo griežtai laikytis Bendrovėje nustatytų Asmens duomenų apsaugos priemonių ir atitinkamų taisyklių, instrukcijų ar tvarkų reikalavimų.
7.3. Bendrovė Asmens duomenis saugo ne ilgiau, negu to reikalauja įstatymai, o kai Asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti Bendrovės archyvui.
8. Atsakomybė
8.1. Darbuotojams, kurie pažeidžia Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, kituose teisės aktuose, reglamentuojančiuose Asmens duomenų tvarkymą ir apsaugą, arba šias Taisykles, taikomos Lietuvos Respublikos įstatymuose numatytos atsakomybės priemonės.
9. Baigiamosios nuostatos
9.1. Taisyklių laikymosi priežiūra ir, esant poreikiui, peržiūra, patikima Bendrovės vadovui ar jo įgaliotam asmeniui.
9.2. Atsakingi Darbuotojai su Taisyklėmis supažindinami pasirašytinai.