Asmens duomenų apsaugos politika
1. BENDROSIOS NUOSTATOS
1.1. Šios asmens duomenų apsaugos politikos ( toliau – Politika) tikslai yra:
1.1.1. nustatyti asmens duomenų rinkimo, naudojimo ir saugojimo
Odontalis, UAB (toliau – Įmonė) bendruosius
principus ir taisykles;
1.1.2. įgyvendinti Darbo kodekso reikalavimus priimti ir įprastais
darbovietėje būdais paskelbti darbuotojų asmens duomenų saugojimo politiką
ir jos įgyvendinimo priemones;
1.1.3. įgyvendinti Darbo kodekso reikalavimus priimti ir įprastais
darbovietėje būdais paskelbti darbuotojų stebėsenos ir kontrolės darbo
vietoje tvarką;
1.1.4. įgyvendinti Bendrojo duomenų apsaugos reglamento (BDAR) įtvirtintus
realios asmens duomenų apsaugos ir atskaitomybės principus;
1.1.5. palengvinti tinkamą Bendrojo duomenų apsaugos reglamento,
Asmens duomenų apsaugos įstatymo, Darbo kodekso, kitų Europos Sąjungos ir
Lietuvos Respublikos teisės aktų asmens duomenų apsaugos srityje ( toliau – ADA teisės aktai) reikalavimų
įgyvendinimą;
1.1.6. sukurti tarpusavio supratimą bei teisinį aiškumą tarp Įmonės ir
jos darbuotojų dėl veiksmų, kuriais Įmonė siekia apsaugoti savo darbuotojų
asmens duomenis;
1.1.7. padėti Įmonės darbuotojams įgyvendinti ADA teisės aktų
reikalavimus.
1.2. Taisyklės taikomos visiems Bendrovėje Darbuotojams. Darbuotojai su šia Politika yra supažindinami galiojančių vidaus Darbo tvarkos taisyklių nustatyta tvarka
2. TAIKYMO SRITIS IR ADRESATAI
2.1. Ši politika taikoma:
2.1.1. Duomenų rinkimui, naudojimui ir saugojimui Bendrovės vardu;
2.1.2. Duomenų, tvarkomų Bendrovėje rinkimui, naudojimui ir saugojimui;
2.1.3. Darbuotojų darbo funkcijų tikslu vykdomam Duomenų rinkimui, naudojimui ir saugojimui.
2.2. Politika skirta visiems Bendrovės darbuotojams, įskaitant vadovybę.
2.3. Visi Darbuotojai turi patvirtinti, kad suprato savo įsipareigojimus ir privalo jų laikytis. Įgaliotas darbuotojas turi užtikrinti, kad kiekvienam Darbuotojui būtų pateikta ar pasiekiama šios Politikos kopija.
3. SĄVOKOS
3.1. Jei šioje Politikoje ir jos prieduose aiškiai nenurodyta kitaip, pirmąja didžiąja raide rašomos sąvokos turi reikšmes, nurodytas žemiau:
ADA teisės aktai Visi galiojantys tarptautiniai, Europos Sąjungos ir Lietuvos Respublikos teisės aktai, administraciniai sprendimai, iš teismų praktikos kylantys reikalavimai, nustatantys taisykles ir/ar reikalavimus asmens duomenų tvarkymui, įskaitant, bet neapsiribojant Bendruoju duomenų apsaugos reglamentu, Darbo kodeksu, Asmens duomenų teisinės apsaugos įstatymu, Elektroninių ryšių įstatymu.
Asmuo Žmogus (fizinis asmuo), kurio asmens duomenys renkami, naudojami ir saugojami Bendrovėje ir kurio tapatybę galima nustatyti, įskaitant bet neapsiribojant Darbuotojais. ADA teisės aktuose apibrėžiamas kaip duomenų subjektas.
Duomenys Bet kokia informacija, susijusi su Asmeniu, renkama, naudojama ar saugoma Bendrovėje. ADA teisės aktuose apibrėžiama kaip asmens duomenys.
Asmens prašymas Bet kuris iš žemiau nurodytų:
a) prašymas susipažinti su Duomenimis apie
Asmenį;
b) prašymas ištaisyti netikslius Asmens
Duomenis;
c) prašymas ištrinti Duomenis apie Asmenį;
d) prašymas apriboti Duomenų apie Asmenį
naudojimą ar trynimą;
e) prašymas išeksportuoti Duomenis apie
Asmenį;
f) prieštaravimas dėl Duomenų apie Asmenį
rinkimo, naudojimo ir saugojimo Įmonėje, įskaitant
rinkodarinių pranešimų siuntimą;
g) prieštaravimas dėl bet kokio automatinio
sprendimo priėmimo dėl Asmens ar Asmens profiliavimo
Įmonėje;
h) bet kuris kitas prašymas ir (arba) skundas
dėl bet kokio klausimo, susijusio su Duomenų apsauga
Įmonėje.
Asmenų prašymų valdymas Procesas, kuriuo metu analizuojami, tiriami Bendrovėje gauti Asmens prašymai ir į juos atsakoma.
Bendrovė Odontalis, UAB, atsakinga už Duomenų rinkimą, naudojimą ir saugojimą, ADA teisės aktų laikymąsi. ADA teisės aktuose apibrėžiama kaip duomenų valdytojas arba duomenų tvarkytojas, atsižvelgiant į konkrečių Duomenų tvarkymą savo arba savo klientų interesais.
Darbuotojas Bet kuris Bendrovės darbuotojas arba komandiruotas į Bendrovę darbuotojas, turintis tiesioginę ar netiesioginę prieigą prie Duomenų.
Įgaliotas darbuotojas Bendrovės skiriamas Darbuotojas padedantis Bendrovei užtikrinti teisinę atitiktį ADA teisės aktams, priimantis sprendimus ir konsultuojantis Darbuotojus duomenų apsaugos srityje.
Duomenų tvarkymas Duomenų rinkimas, naudojimas, saugojimas, persiuntimas, naikinimas ar bet kuris kitas konkretus su Duomenimis atliekamas veiksmas.
IKT Informacinės ir komunikacinės technologijos, kurias Bendrovė suteikia Darbuotojams arba kurias Darbuotojai naudoja siekdami atlikti savo pareigas Bendrovėje, įskaitant, bet neapsiribojant, kompiuteriais, planšetiniais kompiuteriais, išmaniaisiais telefonais, USB įrenginiais ar kitomis duomenų laikmenomis, nutolusiomis duomenų saugyklomis, interneto svetainėmis bei kita programine įranga.
Duomenų saugumo pažeidimas Bet kuris iš toliau nurodytų įvykių:
a) Bendrovės IKT, dokumentų ir (arba) kitų priemonių, kuriuose yra Duomenų praradimas, vagystė arba nesuplanuotas sunaikinimas;
b) atsitiktinis ar tyčinis Duomenų siuntimas, įkėlimas ar dalinimasis su trečiaisiais asmenimis, neturinčiai teisės jų gauti;
c) trečiųjų asmenų neteisėta prieiga prie Bendrovės IKT, dokumentų ir (ar) kitų priemonių, kuriose yra Duomenų;
d) kenkėjiškos atakos prieš Bendrovės IKT ir (ar) kitas priemones, kuriose yra Duomenų;
e) klaidos, susijusios su kuriamomis, naudojamomis ir konfigūruojamomis IKT ir (ar) kitomis priemonėmis, kurios gali kelti pavojų Duomenų saugumui;
f) bet kokie kiti saugumo pažeidimai, lemiantys atsitiktinį ar neteisėtą Duomenų sunaikinimą, praradimą, nutekėjimą, pakeitimą, neleistiną atskleidimą arba prieigos prie Bendrovei perduodamų, saugojamų ar kitaip renkamų, naudojamų ar saugojamų Duomenų suteikimą.
Duomenų saugumo pažeidimo valdymas Procesas, kurio metu Bendrovėje analizuojami, registruojami Duomenų saugumo pažeidimai ir, jei reikia, teikiami pranešimai Inspekcijai ar Asmenims, kurių Duomenys buvo paveikti.
Duomenų tvarkymo veiklos įrašai Elektroninis dokumentas, išsamiai apibūdinantis Bendrovėje renkamus, naudojamus ir saugomus Duomenis.
EEE Europos Ekonominė Erdvė (visos ES valstybės narės bei Islandija, Norvegija, Lichtenšteinas).
Inspekcija Valstybinė duomenų apsaugos inspekcija.
Inspekcijos paklausimas Bet kuris laiškas, pranešimas, užklausa ar kitas dokumentas, kurį pateikia Valstybinė duomenų apsaugos inspekcija, ir kuris yra adresuotas Bendrovei.
Inspekcijos paklausimų valdymas Procesas, kurio metu nagrinėjami Inspekcijos paklausimai, renkama atsakymui reikalingai informacija ir Inspekcijai pateikiamas atsakymas.
Ypatingi duomenys ADA teisės aktuose nurodyti duomenys, kurių tvarkymui keliami padidinti reikalavimai (pvz.: duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją, genetiniai, biometriniai identifikatoriai, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas).
Paslaugų teikėjas Konkretus paslaugos teikėjas ar kitas išorės juridinis ar fizinis asmuo, kuris turi prieigą prie Bendrovės Duomenų ir juos tvarko pagal Bendrovės nurodymus. ADA teisės aktuose apibrėžiamas kaip duomenų tvarkytojas.
Politika Ši atitikties asmens duomenų apsaugos politika.
Tretieji asmenys Visi fiziniai arba juridiniai asmenys, išskyrus Darbuotojus.
3.2. Kitos šioje Politikoje neapibrėžtos sąvokos suprantamos taip, kaip jos apibrėžtos ADA teisės aktuose.
4. DUOMENŲ TVARKYMO PRINCIPAI
4.1. Bendrovė tvarkydama Duomenis vadovaujasi principais, kad
asmens duomenys turi būti:
4.1.1. tvarkomi teisėtai, sąžiningai ir skaidriai;
4.1.2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais
ir toliau netvarkomi su tais tikslais nesuderinamu būdu;
4.1.3. renkami, naudojami ir saugojami laikantis Bendrovės vidaus procedūrų ir užtikrinant Duomenų apsaugą nuo neleistinos prieigos, neteisėto rinkimo, naudojimo ir saugojimo, netyčinio praradimo, sunaikinimo ar sugadinimo;
4.1.4. tikslūs ir prireikus atnaujinami;
4.1.5. tikslūs ir prireikus atnaujinami;
4.1.6. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima
nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens
duomenys yra tvarkomi;
4.1.7. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, įskaitant prieigos prie Duomenų suteikimą tik tiems darbuotojams, kuriems jų reikia savo tiesioginėms darbo funkcijoms atlikti.
4.2. Duomenys gali būti teisėtai tvarkomi Įmonėje tik esant bent
vienam iš šių pagrindų:
4.2.1. Sutartis: Duomenys reikalingi siekiant sudaryti ar vykdyti darbo, civilinę ar kitokią sutartį su Asmeniu, įskaitant, bet neapsiribojant sutarties sąlygų vykdymą, teisės aktų atitinkamai sutarties rūšiai numatytų šalių teisių ir pareigų vykdymą ir iš sutarties esmės kylančių šalių įsipareigojimų vykdymą;
4.2.2. Teisinė prievolė: Bendrovė teisės aktais yra įpareigota tvarkyti Duomenis mokesčių, darbo ir kitose srityse;
4.2.3. Teisėtas interesas: Duomenys yra reikalingi ginčų nagrinėjimui, incidentų tyrimui, turto, žmonių ir IKT saugumo užtikrinimui, veiklos tęstinumui ar kitiems iš anksto nustatytiems Bendrovės interesams, jei Asmens interesai konkrečių aplinkybių kontekste nėra svarbesni
4.2.4. Sutikimas: Asmuo galėjo laisvai pasirinkti, ar duoti sutikimą dėl jo Duomenų tvarkymo, be jokių neigiamų pasekmių Asmeniui ir tokį sutikimą davė.
4.3. Ypatingi duomenys gali būti teisėtai tvarkomi Bendrovėje:
4.3.1. Darbuotojų ypatingi asmens duomenys, įskaitant sveikatos duomenis, – tik ta apimtimi, kiek yra būtina siekiant įgyvendinti teises ar pareigas darbo ir socialinės apsaugos teisės srityse arba pagal kolektyvines sutartis;
4.3.2. Kitų asmenų ypatingi duomenys – tik ta apimtimi, kiek Asmuo galėjo laisvai pasirinkti, ar duoti sutikimą tvarkyti Ypatingus duomenis, be jokių neigiamų pasekmių Asmeniui bei davė tokį sutikimą raštu arba elektronine forma;
4.3.3. Kitų asmenų ypatingus duomenis tvarkyti yra būtina ES ar nacionalinių teismų teisminių įgaliojimų vykdymui, teisėtvarkos ar priežiūros institucijų tyrimų vykdymui;
4.3.4. Tvarkyti Ypatingus duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
4.4. Duomenys apie Asmenų teistumą gali būti tvarkomi tik, kai tai numato specialūs teisės aktai ir tik ta apimtimi, kiek tai reikalinga atitinkamų teisės aktų įgyvendinimui, prireikus tokių duomenų viešajame pirkime ar projekto konkurse, tačiau tokie duomenys turi būti: (a) saugomi atskirai nuo kitų duomenų ir su jais nejungiami ir (b) sunaikinti pasibaigus viešojo pirkimo ar projekto konkurso procedūrai, jei specialūs teisės aktai nenumato specialios Bendrovės pareigos tam tikrą laiką saugoti tokius Duomenis.
4.5. Neatsižvelgiant į aukščiau nurodytus Duomenų tvarkymo teisinius pagrindus, visais atvejais Duomenys tvarkomi teisėtai, kai tai daroma duomenų tvarkymo sutarties pagrindu teikiant Duomenų tvarkymo paslaugas Bendrovės klientams, o Duomenys yra tvarkomis kliento vardu ir interesais bei laikantis Kliento nurodymų.
5. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
5.1. Siekdama užtikrinti Duomenų tvarkymo teisėtumą, Bendrovė sudaro Duomenų tvarkymo veiklos įrašus, kuriuose nurodoma:
5.1.1. Duomenų valdytojo tapatybė;
5.1.2. Asmenų kategorijos;
5.1.3. Duomenų kategorijos pagal kiekvieną Asmenų kategoriją;
5.1.4. Duomenų tvarkymo tikslai ir teisinis pagrindas (BDAR) pagal kiekvieną Duomenų kategoriją;
5.1.5. Duomenų gavėjų kategorijos kiekvienai Asmenų kategorijai pagal Duomenų perdavimo tikslus bei teisinį pagrindą;
5.1.6. Jei tokių yra, duomenų gavėjai, veikiantys ne EEE šalyse, ir jiems taikomos duomenų apsaugos užtikrinimo priemonės;
5.1.7. Duomenų saugojimo terminai.
5.2. Sudaromi atskiri Duomenų tvarkymo veiklos įrašai Bendrovės kaip duomenų tvarkytojo veikloms. Šiuose įrašuose nurodoma:
5.2.1. Duomenų valdytojų, kurių duomenis tvarko Bendrovė, pavadinimai, kontaktiniai duomenys, jei yra, jų duomenų apsaugos pareigūnų kontaktiniai duomenys;
5.2.2. Tvarkymo veiksmų kategorijos kiekvienam Duomenų valdytojui;
5.2.3. Jei tokių yra, duomenų gavėjai, veikiantys ne EEE šalyse, ir tokiems perdavimams taikomos duomenų apsaugos užtikrinimo priemonės.
5.3. Darbuotojai supažindinami su Duomenų tvarkymo veiklos įrašais Darbo tvarkos taisyklių nustatyta tvarka.
5.4. Darbuotojai, prieš pradėdami tvarkyti Bendrovės klientų pagal duomenų tvarkymo sutartį perduotus Duomenis, privalo kreiptis į Įgaliotą darbuotoją, gauti bei susipažinti su atitinkamo kliento ar klientų sudaryta duomenų tvarkymo sutartimi bei jos priedu, apibrėžiančiu duomenų tvarkymo tikslus, Asmenų bei Duomenų kategorijas ir gavėjų kategorijas.
6. BENDROSIOS DARBUOTOJŲ PAREIGOS DUOMENŲ APSAUGOS SRITYJE
6.1. Kiekvienas Darbuotojas privalo:
6.1.1. tvarkydamas Duomenis, įsitikinti, kad yra laikomasi visų
reikalavimų, numatytų Politikoje;
6.1.2. tvarkyti Duomenis tik tam, kad atliktų savo darbo funkcijas, ir tik ta apimtimi, kiek tai reikalinga jų vykdymui;
6.1.3. visais atvejais identifikuoti Duomenis, kurie yra tvarkomi Darbuotojo veikloje bei žinoti, kad veiklai, susijusiai su Duomenimis, yra taikomi šios Politikos, duomenų tvarkymo sutarčių ir ADA teisės aktų reikalavimai;
6.1.4. Kai tvarkomi Duomenys, kurių valdytojas yra Bendrovė:
6.1.4.1. visais atvejais įsitikinti, kad tvarkoma Duomenų kategorija yra įtraukta į Duomenų tvarkymo veiklos įrašus, o tvarkymo tikslas atitinka bent vieną iš Duomenų tvarkymo veiklos įrašuose nurodytų tikslų; apie poreikį tvarkyti naujas Duomenų kategorijas ir (ar) naujais tikslais informuoti Įgaliotą darbuotoją;
6.1.4.2. visais atvejais prieš perduodant Duomenis Tretiesiems asmenims įsitikinti, kad tokia Duomenų gavėjų kategorija yra įtraukta į Duomenų tvarkymo veiklos įrašus, o jei ketinama Duomenis perduoti už EEE ribų – kad atitinkamas Duomenų gavėjas yra įtrauktas į Duomenų tvarkymo veiklos įrašus; apie poreikį perduoti Duomenis Duomenų tvarkymo veiklos įrašuose nenurodytai Duomenų gavėjų kategorijai arba už EEE ribų veikiančiam Trečiajam asmeniui, nenurodytam Duomenų tvarkymo veiklos įrašuose, informuoti Įgaliotą darbuotoją.
6.1.5. Kai tvarkomi Duomenys, perduoti Bendrovės kliento pagal duomenų tvarkymo sutartį:
6.1.5.1 visais atvejais įsitikinti, kad tvarkoma Duomenų kategorija yra įtraukta į duomenų tvarkymo sutarties priedą, o tvarkymo tikslas atitinka bent vieną iš duomenų tvarkymo sutarties priede nurodytų tikslų arba yra gautas specialus Bendrovės kliento nurodymas dėl Duomenų tvarkymo; apie poreikį tvarkyti naujas Duomenų kategorijas ir (ar) naujais tikslais informuoti Įgaliotą darbuotoją;
6.1.5.1 visais atvejais prieš perduodant Duomenis Tretiesiems asmenims įsitikinti, kad tokia Duomenų gavėjų kategorija yra įtraukta į duomenų tvarkymo sutarties priedą arba yra gautas specialus Bendrovės kliento nurodymas dėl Duomenų perdavimo; apie poreikį perduoti Duomenis duomenų tvarkymo sutarties priede nenurodytai Duomenų gavėjų kategorijai informuoti Įgaliotą darbuotoją;
6.1.5.1 kilus abejonių dėl kliento nurodymų atitikimo ADA teisės aktų reikalavimams prieš imantis veiksmų konsultuotis su Įgaliotu darbuotoju.
6.1.6. įsitikinti, kad kiekvienas Asmuo, su kuriuo jie susiduria pirmą kartą Bendrovėje, buvo informuotas apie jo Duomenų tvarkymą, o Duomenų tvarkymo veiklos įrašuose numatytais atvejais yra davęs sutikimą Duomenų tvarkymui; jei Asmuo nebuvo informuotas apie jo Duomenų tvarkymą ir (ar) nebuvo gautas jo sutikimas, kai pagal veiklos įrašus jis yra būtinas, įteikti informacinį pranešimą ir (ar) paprašyti Asmens sutikimo pagal atitinkamai Asmenų kategorijai pritaikytą formą; jei konkrečiu atveju nėra tinkama nei viena iš Bendrovės naudojamų tipinių informacinių pranešimų ar sutikimų formų, Darbuotojas apie tai turi nedelsiant informuoti Įgaliotą darbuotoją;
6.1.7. atsižvelgiant į atliekamų darbo funkcijų pobūdį imtis protingų pastangų, kad užtikrintų, jog visi Bendrovės valdomi Duomenys būtų tikslūs ir prireikus atnaujinami;
6.1.8. tvarkydami Duomenis, elgtis rūpestingai ir atsargiai, turėdami omenyje tai, kad Darbuotojo veiksmai, susiję su Duomenimis, kelia pavojų Bendrovei ir Asmenims, esant bet kokiam neaiškumui, susijusiam su Duomenų tvarkymu, kreiptis į Įgaliotą darbuotoją ir prieš atliekant Duomenų tvarkymo operaciją gauti Įgalioto asmens konsultaciją ar nurodymą;
6.1.9. įgyvendinti ir naudoti technines ir organizacines Duomenų apsaugos priemones, užtikrinančias Duomenų apsaugą nuo neleistinos prieigos, neteisėto rinkimo, naudojimo ir saugojimo, netyčinio praradimo, sunaikinimo ar sugadinimo, kaip tai nustatyta šioje Politikoje, darbo tvarkos taisyklėse ir kituose Bendrovės dokumentuose;
6.1.10. neatskleisti informacijos apie Bendrovės taikomas technines ir organizacines Duomenų apsaugos priemones, įskaitant, bet neapsiribojant, Bendrovės vidaus dokumentais, jokiems Tretiesiems asmenims, prieš tai neįsitikinus jų teise gauti tokią informaciją;
6.1.11. nesaugoti asmens duomenų jokiose Darbuotojui priklausančiose asmeninėse atmintinėse, kompiuterinėje ar programinėje įrangoje (internetinėse duomenų saugyklose, atmintinėse, kompiuteriuose, telefonuose ir pan.), nebent konkrečiu atveju Bendrovė leistų Darbuotojui naudoti konkrečias asmenines priemones darbo funkcijų vykdymui;
6.1.12. kai Darbuotojui leidžiama naudoti asmenines atmintines ir/ar kompiuterinę ar programinę įrangą darbo funkcijoms vykdyti, pasibaigus darbo santykiams perduoti visus Darbuotojo bet kokiose informacijos rinkmenose (asmeninėse internetinėse saugyklose, atmintinėse, asmeniniame kompiuteryje, telefone ir pan.) esančius Duomenis Bendrovei ir sunaikinti visas tokios informacijos kopijas;
6.1.13. kreiptis į Įgaliotą darbuotoją ir gauti jo konsultaciją:
6.1.13.1. ketinant sudaryti paslaugų sutartį su nauju klientu, kurio perduoti duomenys bus tvarkomi Bendrovėje kliento vardu ir interesais;
6.1.13.2. ketinant Bendrovėje pasitelkti naują Paslaugų teikėją;
6.1.13.3. ketinant Bendrovėje sukurti, diegti ar naudoti naujas IKT ir (ar) kitus metodus Duomenų tvarkymui;
6.1.13.4. prieš pradedant naują tiesioginės rinkodaros kampaniją ar Duomenų rinkimą jos įgyvendinimui;
6.1.13.5. esant bet kokiems netikslumams, abejonėms ar klausimams, susijusiems su Politikos taikymu, aiškinimu, pažeidimu ar atitikimu Politikai.
6.1.14. su Asmenų prašymais elgtis rūpestingai ir atidžiai; gavę bet kokį Asmens prašymą nedelsdami, ne vėliau kaip per 1 (vieną) darbo dieną nuo Asmens prašymo gavimo, pranešti apie tai Įgaliotam darbuotojui;
6.1.15. nedelsiant, bet ne vėliau kaip per 12 (dvylika) valandų, nuo sužinojimo apie Duomenų saugumo pažeidimą Bendrovėje:
6.1.15.1. informuoti Įgaliotą darbuotoją apie Duomenų saugumo pažeidimą;
6.1.15.2. pagal savo kompetenciją imtis pagrįstų veiksmų, kad Duomenų saugumo pažeidimas būtų sustabdytas;
6.1.15.3. pagal savo kompetenciją imtis pagrįstų veiksmų, kad Duomenų saugumo pažeidimas nepasikartotų.
6.1.16. bendradarbiauti su Įgaliotu darbuotoju, kitais Darbuotojais ir (ar) Paslaugų teikėjais atliekant Duomenų saugumo pažeidimo valdymą, Asmenų prašymų valdymą, Inspekcijos paklausimų valdymą ir kitas Bendrovės nustatytas su Duomenų tvarkymu susijusias procedūras;
6.1.17. per trumpiausius galimus terminus pateikti Įgaliotam darbuotojui bet kokią prašomą informaciją;
6.1.18. vykdyti Įgalioto darbuotojo nurodymus dėl Duomenų tvarkymo.
6.2. Nė vienam Darbuotojui neturi būti suteikta prieiga prie Duomenų, jei šie Duomenys nėra reikalingi jų darbo funkcijoms atlikti.
6.3. Darbuotojai gali siųsti tiesioginės rinkodaros pranešimus Asmenims ir (ar) juridiniams asmenims, jeigu Asmenys ir (ar) juridiniai asmenys, kuriems siunčiami tiesioginės rinkodaros pranešimai:
6.3.1. yra davę sutikimą tiesioginei rinkodarai; arba
6.3.2. yra pirkę prekių ar paslaugų iš Bendrovės ir:
6.3.2.1. savo elektroninio pašto duomenis Bendrovei pateikė pirkdami iš jos prekių ar paslaugų;
6.3.2.2. kiekvieną kartą siunčiant tiesioginės rinkodaros pranešimus jiems yra suteikiama lengvai įgyvendinama, nemokama galimybė atsisakyti rinkodaros pranešimų (pvz., paspaudžiant ant aktyvios nuorodos);
6.3.2.3. nė karto neprieštaravo gauti rinkodaros pranešimų iš Bendrovės;
6.3.2.4. jiems reklamuojamos panašios Bendrovės prekės ar paslaugos;
6.3.2.5. jie buvo informuoti, kad jų elektroninio pašto duomenys gali būti panaudoti tiesioginės rinkodaros tikslu.
7. ASMENŲ TEISIŲ ĮGYVENDINIMAS
7.1. Darbuotojas, gavęs Asmens prašymą, nedelsdamas, ne vėliau
kaip per 1 (vieną) darbo dieną nuo Asmens prašymo gavimo dienos kreipiasi į
Įgaliotą darbuotoją.
7.2. Įgaliotas darbuotojas atlieka gautų Asmenų prašymų valdymą vadovaudamasis šia Politika ir ADA teisės aktais.
7.3. Gavęs prašymą, Įgaliotas darbuotojas:
7.3.1. peržiūri prašymą;
7.3.2. nustato prašymą pateikusio Asmens tapatybę;
7.3.3. surenka prašymo nagrinėjimui reikalingą informaciją;
7.3.4. įvertina prašymo teisinį pagrįstumą;
7.3.5. patvirtina Asmeniui, kad jo prašymas yra gautas;
7.3.6. nustato, ar ir kokia papildoma informacija iš Darbuotojų, Paslaugų teikėjų ir (ar) Asmens, kuris pateikė prašymą, yra reikalinga siekiant atsakyti į Asmens prašymą;
7.3.7. esant reikalui duoda reikiamus pavedimus Darbuotojams dėl prašymą pateikusio Asmens Duomenų tolesnio tvarkymo;
7.3.8. paruošia ir pateikia Asmeniui atsakymą į prašymą.
7.4. Nustatęs, kad gautas Asmens prašymas yra susijęs su Bendrovės kliento pagal duomenų tvarkymo sutartį perduotais duomenimis, persiunčia tokį prašymą atitinkamam klientui ir informuoja apie tai prašymą pateikusį asmenį; šiuo atveju atsakymą į prašymą rengia Bendrovės klientas, o Įgaliotas darbuotojas suteikia klientui visą informaciją, reikalingą prašymo nagrinėjimui ir atsakymo parengimui.
7.5. Įgaliotas darbuotojas užtikrina, kad:
7.5.1. į Asmens prašymą būtų atsakyta per 1 (vieną) mėnesį nuo jo gavimo dienos; jei Asmens prašymų, pateiktų to paties Asmens, sudėtingumas ar skaičius yra didelis, Įgaliotas darbuotojas turi teisę pratęsti terminą atsakymui pateikti iki 2 (dviejų) mėnesių informuodamas apie tai Asmenį ir nurodydamas termino pratęsimo priežastis;
7.5.2. Asmeniui būtų pateikta tik ta informacija, kuri yra susijusi su juo;
7.5.3. Asmeniui būtų pateikiama tik tiek informacijos, kiek reikalauja ADA teisės aktai;
7.5.4. ADA teisės aktų numatytais atvejais, kai Asmuo neturi teisės pasinaudoti savo kaip duomenų subjekto teise, Asmens prašymas nebūtų tenkinamas;
7.5.5. Asmenims nebūtų atskleista jokia Bendrovės konfidenciali informacija, ypatingai Bendrovės komercinės paslaptys.
7.6. Asmens prašymą tenkinti atsisakoma, kai:
7.6.1. Asmens prašymas nesusijęs su ADA teisės aktų numatytomis teisėmis;
7.6.2. Asmens prašymas susijęs su informacija, kuri nėra Duomenys;
7.6.3. Asmens prašymas susijęs su informacija apie kitą Asmenį;
7.6.4. Asmuo neturi teisės pasinaudoti atitinkamomis duomenų subjekto teisėmis pagal ADA teisės aktų nustatytus reikalavimus bei išimtis;
7.6.5. Asmens prašymas yra akivaizdžiai neproporcingas, įskaitant, bet neapsiribojant, šiais atvejais;
7.6.5.1. Asmens prašymas yra pasikartojantis – tas pats Asmuo jau yra pateikęs tokį patį Prašymą per 1 (vienus) metus iki Prašymo gavimo išskyrus atvejus, kai per šį laikotarpį Asmuo gali pagrįstai tikėtis, kad pasikeitė apie Asmenį tvarkomų Duomenų apimtis;
7.6.5.2. Asmens prašymas susijęs su dideliu kiekiu pasikartojančių Duomenų;
7.6.5.3. aplinkybės rodo, kad vienintelis Asmens prašymo tikslas yra sutrikdyti Bendrovės veiklą ir Bendrovė gali tai įrodyti.
7.7. Įgaliotas darbuotojas į Asmens prašymą atsako elektroninėmis priemonėmis glausta ir Asmeniui suprantama forma, vartodamas aiškią ir suprantamą kalbą, išskyrus atvejus, kai Asmuo prašo žodinio atsakymo ar ne elektroninio atsakymo raštu.
7.8. Jei Asmens prašymą tenkinti atsisakoma visiškai arba iš dalies, atsakyme turi būti nurodomos atsisakymo priežastys ir informuojama apie galimybę pateikti skundą Inspekcijai ir (ar) imtis teisminės gynybos priemonių.
7.9. Jei Asmens prašymas tenkinamas, Įgaliotas darbuotojas koordinuoja ir planuoja Asmens prašymo įgyvendinimą Bendrovėje, teikia nurodymus bei konsultacijas Darbuotojams ir Paslaugų teikėjams, kurie turi dalyvauti Asmens prašymo įgyvendinime
8. KLIENTAI IR PASLAUGŲ TEIKĖJAI
8.1. Įgaliotas darbuotojas, sužinojęs apie ketinimą pasitelkti
naują Paslaugų teikėją, turi:
8.1.1. patikrinti ir įsitikinti, kad Paslaugų teikėjas imasi tinkamų
techninių ir organizacinių duomenų apsaugos priemonių ir atitinka kitus ADA
teisės aktų reikalavimus;
8.1.2. pasirūpinti, kad Įmonė prieš dalindamasi Duomenimis su Paslaugų
teikėju sudarytų su juo Duomenų tvarkymo sutartį (arba įtrauktų atitinkamas
nuostatas į esamas sutartis, įskaitant paslaugų teikimo sąlygas).
8.2. Įgaliotas darbuotojas, sužinojęs apie ketinimą sudaryti paslaugų sutartį su nauju klientu, kurio perduoti duomenys bus tvarkomi to kliento vardu ir interesais, turi pasirūpinti, kad Bendrovė prieš pradėdama tvarkyti kliento perduotus duomenis sudarytų su juo Duomenų tvarkymo sutartį (arba įtrauktų atitinkamas nuostatas į esamas sutartis, įskaitant paslaugų teikimo sąlygas).
8.3. Jei Paslaugų teikėjas arba klientas pateikia Bendrovei savo Duomenų tvarkymo sutarties formą, įskaitant paslaugų teikimo sąlygas, Įgaliotas darbuotojas, prieš Bendrovei sudarant tokią sutartį, turi įsitikinti, kad ji atitinka ADA teisės aktų nustatytus reikalavimus.
9. DARBUOTOJŲ STEBĖSENOS IR KONTROLĖS DARBO VIETOJE TVARKA
9.3. Siekiant užtikrinti bendrovės turto (įskaitant ir tvarkomus duomenis) saugumo užtikrinimui, patekimas į bendrovės patalpas galimas tik su darbuotojams ir/ar praktikantams išduotomis praėjimo kortelėmis. Kiekviena kortelė turi atskirą identifikacinį kodą, kuris yra priskiriamas darbuotojui ir gali būti nustatoma kada ir kuris darbuotojas pateko į patalpas ir iš jų išėjo. Ši priemonė taikoma išimtinai tik bendrovės turto (įskaitant tvarkomus duomenis) saugumo užtikrinimui ir nėra naudojama darbuotojų sekimui bei stebėjimui.
9.4. Bendrovė, siekdama valdyti savo IKT infrastruktūrą bei užtikrinti jos saugumą, suteikia nuotolinio prisijungimą prie savo IKT (kompiuterių, planšečių, telefonų ir pan.) jų techninę priežiūrą vykdantiems Darbuotojams, išoriniams paslaugų teikėjams – programinės įrangos diegimui, atnaujinimui, gedimų šalinimui ir panašios techninės pagalbos darbams. Nors šiuo atveju nėra renkama įrenginyje saugoma informacija, teikiant techninę priežiūrą gali būti nustatyti Darbuotojo darbo pareigų pažeidimai (pvz., neteisėtai instaliuota programinė įranga) ir tokia informacija gali būti panaudota kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus.
9.5. Darbuotojo susirašinėjimo su kitais Darbuotojais ir Trečiaisiais asmenimis (klientais, tiekėjais ir pan.) naudojant Bendrovės elektroninio pašto, socialinių tinklų ar panašią paskyrą duomenys yra saugomi Bendrovės ir (ar) Bendrovės pasitelkto atitinkamų elektroninių paslaugų tiekėjo informacinėse sistemose siekiant užtikrinti Bendrovės teisėtus interesus – sudarytų sutarčių vykdymą, ypač atsižvelgiant į tai, kad toks susirašinėjimas laikomas sutarčių dalimi, informacijos pateikimą kontrahentams, efektyvų darbo organizavimą, taip pat ir paties darbuotojo darbo palengvinimui. Šie Duomenys tvarkomi laikantis tokių taisyklių:
9.5.1. Bendrovės komunikacijos sistemos, įskaitant elektroninį paštą, socialinius tinklus ir pan., technologiškai yra sukurtos informacijos saugojimui, t.y. vien dėl techninių priežasčių jos saugo visą įkeltą informaciją, jei ji nėra specialiai ištrinama;
9.5.2. Darbuotojai keldami bet kokią informaciją į Bendrovės IKT, įskaitant elektroninių pranešimų siuntimą naudojant Bendrovės elektroninį paštą, socialinių tinklų ir kitas panašias paskyras, gali ir privalo suprasti, kad tokia informacija neišvengiamai bus išsaugota. Darbdavio naudojamos technologijos neleidžia pažymėti keliamos informacijos, įskaitant elektroninio pašto žinutes, kaip asmeninės ir tokia techninė įranga reikalauja neproporcingai didelių kaštų, todėl įkėlus asmeninio pobūdžio informaciją ji gali atsitiktinai tapti žinoma kitiems asmenims. Atitinkamai Darbuotojai neturi naudoti Bendrovės IKT asmeninėms reikmėms, o tą darydami prisiima riziką, kad asmeninio pobūdžio informacija atsitiktinai gali tapti žinoma kitiems asmenims.
9.5.3. Siekiant įgyvendinti komunikacijos su Bendrovės klientais ir vidinės tarpusavio komunikacijos Bendrovėje praktiką, užtikrinti nenutrūkstamą ūkinę komercinę veiklą, kai yra būtina, Bendrovės Darbuotojams gali būti suteikiama prieigą prie kitų Bendrovės Darbuotojų naudojamų komunikacijos kanalų (pavyzdžiui, vardinio elektroninio pašto).
9.5.4. Darbuotojo susirašinėjimo duomenys siekiant užtikrinti Bendrovės veiklos nepertraukiamumą ir tęstinumą yra prieinami pavaduojantiems Darbuotojams jo atostogų, nedarbingumo ar panašiais laikotarpiais, o taip pat, Darbuotojui nutraukus darbo sutartį bus prieinami naujam Darbuotojui, perimsiančiam atleisto Darbuotojo darbą.
9.5.5. Laikina prieiga prie Darbuotojo susirašinėjimo duomenų gali būti suteikta kitiems Darbuotojams:
9.5.5.1. kai prireikia skubiai gauti atitinkamą informaciją, o pačio Darbuotojo nėra darbo vietoje;
9.5.5.2. kai to reikia informacijos surinkimui siekiant pareikšti arba ginantis nuo pareikštų reikalavimų teisme, administracinėse procedūrose, komerciniuose ginčuose su Darbuotoju ar Trečiaisiais asmenimis arba kitokiose teisinėse procedūrose.
9.5.6. Darbuotojo susirašinėjimo duomenys gali būti panaudoti kaip įrodymas nustatant Darbuotojo darbo pareigų pažeidimus tik kai toks pažeidimas nustatomas šioje politikoje nustatyta tvarka.
9.6. Bendrovė nevykdo nuolatinio, sistemingo IKT stebėjimo, t.y. nerenka Darbuotojų Duomenų IKT, tačiau Bendrovės paskirti Darbuotojai turi teisę atlikti IKT patikrinimą, įskaitant, bet neapsiribojant, Darbuotojo elektroninio pašto, socialinių tinklų ir panašių paskyrų, išskyrus asmenines paskyras, Darbuotojo žinioje esančių kompiuterių, planšetinių kompiuterių ir kitos įrangos patikrinimą, šiais atvejais:
9.6.1. kai yra nustatoma arba tiriama nusikalstama veika, kiti rimti teisės ir (ar) darbo tvarkos taisyklių pažeidimai;
9.6.2. kai yra nustatomas arba tiriamas konfidencialios informacijos nutekėjimas, intelektinės nuosavybės pažeidimas ir (ar) nesąžiningos konkurencijos atvejis;
9.6.3. kai vyksta bylinėjimasis;
9.6.4. kai reikia atlikti Duomenų saugumo pažeidimo valdymą;
9.6.5. kai reikia užtikrinti Įmonės IKT saugumą.
9.7. 9.6 punkte numatytą IKT patikrinimą gali atlikti Bendrovės darbuotojai.
9.8. Bendrovė tikrina IKT tais atvejais, kai nėra kitų priemonių 9.6. punkte nurodytiems tikslams pasiekti. Sprendimą dėl IKT tikrinimo priima Bendrovės vadovas.
9.9. Tikrindami IKT, Bendrovės paskirti Darbuotojai turi kiek įmanoma labiau sumažinti renkamų, naudojamų ir saugojamų Duomenų kiekį. Tikrindami IKT, Bendrovės paskirti Darbuotojai renka, naudoja ir saugo tik tokius Duomenis, kurie yra būtini IKT tikrinimui. Jei tikrinant IKT pertekliniai Duomenys buvo surinkti, Darbuotojai nedelsdami juos ištrina.
9.10. Bendrovės paskirti Darbuotojai gali pradėti tikrinti IKT po to, kai atliko žemiau išvardintus veiksmus:
9.10.1. nustatė konkrečias priežastis, įtarimus ar informaciją, dėl kurių reikia tikrinti IKT, ir konkrečius IKT tikrinimo tikslus remdamiesi šios Politikos 9.6 punktu;
9.10.2. nustatė, kad kitų priemonių pasiekti tikslinimo tikslams nėra arba šios priemonės yra neveiksmingos;
9.10.3. informavo Įgaliotą darbuotoją ir gavo jo konsultaciją dėl numatomo IKT tikrinimo;
9.10.4. reikiamais atvejais pasitelkė IKT ekspertą ir (ar) antstolį;
9.10.5. pasirūpino, kad būtų priimtas raštiškas sprendimas dėl IKT tikrinimo.
9.11. Bendrovės paskirti Darbuotojai turi informuoti konkrečius Darbuotojus, kurių IKT yra tikrinamos, ir sudaryti jiems galimybę stebėti IKT tikrinimą, nebent minėtos informacijos atskleidimas sutrukdytų pasiekti tikrinimo tikslus.
9.12. Atlikę IKT patikrinimą, Bendrovės paskirti Darbuotojai turi raštu įforminti IKT tikrinimo rezultatus.
10. DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS
10.1. Darbuotojas, sužinojęs apie galimą Duomenų saugumo
pažeidimą Įmonėje, nedelsdamas, bet ne vėliau kaip per 12 (dvylika)
valandų, turi apie tai informuoti Įgaliotą darbuotoją.
10.2. Įgaliotas darbuotojas vykdo Duomenų saugumo pažeidimų
valdymą vadovaudamasis šia Politika ir ADA teisės aktais ir pildo duomenų
saugumo pažeidimo registrą.
10.3. Įgaliotas darbuotojas užtikrina, kad laikomasi šios
Politikos ir ADA teisės aktų nustatytų terminų. Įgaliotas darbuotojas
pažeidimų registre nurodydamas pratęsimo priežastis, gali pratęsti
terminus, jei tai reikalinga dėl to paties Asmens Duomenų saugumo pažeidimo
sudėtingumo ar skaičiaus.
10.4. Įgaliotas darbuotojas, gavęs informaciją apie galimą
Duomenų saugumo pažeidimą iš Darbuotojo ar pats jį pastebėjęs, nedelsdamas,
bet ne vėliau kaip per 12 (dvylika) valandų, atlieka pirminę Duomenų
saugumo pažeidimo analizę:
10.4.1. peržiūri informaciją apie Duomenų saugumo pažeidimą;
10.4.2. nustato Duomenų saugumo pažeidimo valdymo (įskaitant reikalingos
informacijos rinkimą, konsultavimąsi su Darbuotojais ir (arba) Paslaugų
teikėjais) terminus;
10.4.3. nustato, ar ir kokia papildoma informacija iš Darbuotojų yra
reikalinga vykdant Duomenų saugumo pažeidimo valdymą, bei paprašo šios
informacijos;
10.4.4. nustato, ar ir kokie Paslaugų teikėjai, išorės Duomenų apsaugos
pareigūnai, IT saugumo konsultantai ir (ar) kiti Tretieji asmenys turi būti
įtraukti į Duomenų saugumo pažeidimo valdymo procesą bei prireikus prašo jų
pagalbos.
10.5. Įgaliotas darbuotojas, nustatęs, kad Duomenų saugumo
pažeidimo valdymui reikalinga papildoma informacija, paprašo Darbuotojų ir
(ar) Paslaugų teikėjų suteikti reikiamą informaciją ne vėliau kaip per 24
(dvidešimt keturias) valandas. Darbuotojai ir paslaugų teikėjai turi laiku
suteikti Įgaliotam darbuotojui visą prašomą informaciją.
10.6. Įgaliotas darbuotojas ne vėliau kaip per 72
(septyniasdešimt dvi) valandas nuo momento, kai sužinojo apie Duomenų
saugumo pažeidimą, turi užbaigti Duomenų saugumo pažeidimo valdymą,
įskaitant Duomenų saugumo pažeidimo užregistravimą ir, jei reikia,
pranešimų pateikimą Inspekcijai.
10.7. Įgaliotas darbuotojas vykdo Duomenų saugumo pažeidimo
valdymą:
10.7.1. pildydamas Duomenų saugumo pažeidimų registro įrašo formą ir
joje aprašydamas kiekvieną Duomenų saugumo pažeidimą;
10.7.2. teikdamas pranešimus Inspekcijai ir Asmenims apie Duomenų
saugumo pažeidimus;
10.7.3. teikdamas rekomendacijas ir nurodymus Darbuotojams dėl Duomenų
saugumo pažeidimų pasekmių šalinimo ar švelninimo.
10.8. Įgaliotas darbuotojas raštu pagal Inspekcijos nustatytą ar
rekomenduojamą formą praneša Inspekcijai apie kiekvieną Duomenų saugumo
pažeidimą, išskyrus atvejus, kai Duomenų saugumo pažeidimų registro įrašas
rodo, jog atitinkamas Duomenų saugumo pažeidimas nekelia pavojaus Asmenims.
10.9. Jei užpildytas Duomenų saugumo pažeidimų registro įrašas
rodo, jog atitinkamas Duomenų saugumo pažeidimas kelia didelį pavojų
Asmenims, kurių Duomenys buvo paveikti, Įgaliotas darbuotojas raštu praneša
Asmenims apie Duomenų saugumo pažeidimą, išskyrus atvejus, kai Duomenų
saugumo pažeidimų registro įrašas įrodo, jog Asmenys buvo apsaugoti nuo
pavojaus.
10.10. Jei užpildytas Duomenų saugumo pažeidimų registro įrašas
pagrindžia, jog Asmenų informavimas apie jų Duomenų saugumo pažeidimą
pareikalautų neproporcingų pastangų, Įgaliotas darbuotojas neprivalo
pranešti Asmenims apie Duomenų saugumo pažeidimą. Šiuo atveju Įgaliotas
darbuotojas, derindamas su Įmonės vadovu, turi imtis kitų veiksmingų
priemonių, skirtų informuoti Asmenis, kurių Duomenys buvo paveikti Duomenų
saugumo pažeidimo (pvz., informaciją paskelbti internete ar
žiniasklaidoje), bei šias priemones nurodyti Duomenų saugumo pažeidimo
registro įraše.
11. INSPEKCIJOS PAKLAUSIMAI
11.1. Įgaliotas darbuotojas vykdo Inspekcijos paklausimų valdymą
vadovaudamasis šia Politika ir ADA teisės aktais.
11.2. Darbuotojas gavęs Inspekcijos paklausimą, nedelsiant, bet
ne vėliau kaip per 1 (vieną) darbo dieną, informuoja Įgaliotą darbuotoją
apie tokį paklausimą.
11.3. Įgaliotas darbuotojas, gavęs Inspekcijos paklausimą, turi
nedelsdamas atlikti pirminę Inspekcijos paklausimo analizę:
11.3.1. peržiūrėti Inspekcijos paklausimą;
11.3.2. nustatyti atsakymo į Inspekcijos paklausimą terminus (įskaitant
reikalingos informacijos surinkimą, konsultacijas su Darbuotojais ir (ar)
Paslaugų teikėjais);
11.3.3. jei reikia, kreiptis į Inspekciją dėl termino pateikti atsakymą
pratęsimo;
11.3.4. nustatyti, ar yra reikalinga papildoma informacija iš
Darbuotojų ir, jei taip, – paprašyti tokią informaciją pateikti;
11.3.5. nustatyti, ar Paslaugų teikėjai, išoriniai Duomenų apsaugos
pareigūnai, IT saugumo konsultantai ir (ar) Tretieji asmenys yra susiję su
Inspekcijos paklausimu ir, jei taip, paprašyti jų pagalbos rengiant
atsakymą į Inspekcijos paklausimą.
11.4. Surinkęs visą atsakymui į Inspekcijos paklausimą reikalingą
informaciją, tačiau jokiu būdu ne vėliau kaip per Inspekcijos nustatytą
terminą, Įgaliotas darbuotojas parengia ir pateikia Inspekcijai atsakymą į
paklausimą.
12. ĮGALIOTAS DARBUOTOJAS
12.1. Bendrovė paskiria Įgaliotą darbuotoją, kuris padeda prižiūrėti
kaip Įmonėje laikomasi ADA teisės aktų reikalavimų ir veikia kaip Įmonės
atstovas su asmens duomenų apsauga susijusiais klausimais.
12.2. Darbuotojai darbo tvarkos taisyklių nustatyta tvarka
informuojami apie paskirtą Įgaliotą darbuotoją bei jo kontaktinius
duomenis.
12.3. Įmonė padeda Įgaliotam darbuotojui vykdyti nurodytas užduotis
suteikdama būtinus išteklius, taip pat suteikdama galimybę susipažinti su
Duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo
ekspertines žinias.
12.4. Įgaliotas darbuotojas atlieka šias užduotis:
12.4.1. informuoja Įmonę, jos Darbuotojus ir valdymo organų narius apie jų
prievoles pagal ADA teisės aktus, taip pat apie Duomenų apsaugą Įmonėje ir
konsultuoja juos šiais klausimais;
12.4.2. stebi, kaip Įmonėje laikomasi ADA teisės aktų;
12.4.3. rūpinasi Duomenų rinkimo, naudojimo ir saugojimo veikloje
dalyvaujančių Darbuotojų sąmoningumo ugdymu bei mokymu;
12.4.4. koordinuoja, atlieka ir (ar) stebi poveikio Duomenų apsaugai
vertinimus Įmonėje;
12.4.5. stebi, ar Įmonė kuria, diegia ir (ar) naudoja IKT Duomenų
tvarkymui laikantis ADA teisės aktų reikalavimų;
12.4.6. atlieka kontaktinio asmens funkcijas Asmenims, kurie kreipiasi į
Įmonę su Duomenų tvarkymu susijusiais klausimais;
12.4.7. konsultuoja Darbuotojus dėl Duomenų perdavimo konkretiems Paslaugų
teikėjams ar kitiems subjektams, įsisteigusiems už EEE ribų;
12.4.8. rengia šią Politiką, Duomenų tvarkymo veiklos įrašus, kitas su
Duomenų apsauga susijusias vidaus taisykles, procedūras, šablonus ir kitus
dokumentus, prižiūri jų laikymąsi ir juos periodiškai peržiūri;
12.4.9. koordinuoja, kad Įmonė su visais Paslaugų teikėjais ir klientais,
kurių perduoti duomenys bus tvarkomi to kliento vardu ir interesais,
sudarytų Duomenų tvarkymo sutartis, įskaitant sąlygas dėl paslaugų teikimo
(arba sutartis su Paslaugų teikėjais atitinkamomis nuostatomis);
12.4.10. praneša apie esamus ar galimus ADA teisės aktų pažeidimus,
keliančius pavojus Įmonės veiklai, bei konsultuoja Darbuotojus, atsakingus
už šiuos pažeidimus;
12.4.11. atlieka Duomenų saugumo pažeidimų valdymą;
12.4.12. atlieka Asmenų teisių įgyvendinimo valdymą;
12.4.13. atlieka kontaktinio asmens funkcijas Inspekcijai kreipiantis
į Bendrovę.
12.4. Tuo atveju jei bendrovei taptu būtina arba, nors ir netaptų būtina, tačiau būtų paskirtas duomenų apsaugos pareigūnas, jis atlieka visas 12.4. punkte nurodytas užduotis bei kitas užduotis, kurias reikalauja atlikti ADA teisės aktai bei jų išaiškinimai.
13. DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES
13.1. Darbuotojas gali perduoti asmens duomenis konkretiems paslaugų teikėjams ar kitiems subjektams, įsteigtiems už EEE ribų, tik tais atvejais, kai tokie paslaugų teikėjai ar kiti subjektai yra įtraukti į Bendrovės Duomenų tvarkymo veiklos įrašus.
13.2. Jeigu Darbuotojas siekia pirmą sykį Bendrovėje Duomenis padaryti prieinamus konkretiems Paslaugų teikėjams ar kitiems subjektams, įsteigtiems už EEE ribų bei neįtrauktiems į Bendrovės Duomenų tvarkymo veiklos įrašus, Darbuotojas turi kreiptis į Įgaliotą darbuotoją ir gauti jo išankstinę konsultaciją ar nurodymus.
13.3. Įgaliotas darbuotojas, prieš Bendrovei perduodant asmens duomenis konkretiems paslaugų teikėjams ar kitiems subjektams, įsteigtiems už EEE ribų, pirmą kartą, įsitikina, kad pagal Bendrojo duomenų apsaugos reglamento V skyrių yra įgyvendinamos perduodamų duomenų tinkamo lygio apsaugą užtikrinančios priemonės (pavyzdžiui, duomenys perduodami JAV bendrovei, kuri laikosi Saugaus uosto (angl. Privacy shield) principų, arba duomenų gavėjui, su kuriuo Bendrovė yra sudariusi duomenų perdavimo sutartį pagal Europos Komisijos patvirtintas standartines sutarčių sąlygas).
13.4. Tais atvejais, kai Bendrovė ketina perduoti duomenis už EEE ribų pagal paslaugos teikėjo internete skelbiamas arba kitaip Bendrovei pateiktas paslaugų teikimo taisykles, Įgaliotas darbuotojas įsitikina, kad tokios taisyklės atitinka šios Tvarkos ir ADA teisės aktų reikalavimus.
14. BAIGIAMOSIOS NUOSTATOS
12.1. Ši Politika įsigalioja nuo jos patvirtinimo dienos ir taikoma Darbuotojams nuo supažindinimo su Politika dienos.
Kiti dokumentai: