1. PAGRINDINĖS POLITIKOS SĄVOKOS
1.1. ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.
1.2. Atsakingas darbuotojas – Bendrovės darbuotojas, kuris pagal užimamas pareigas ir darbo pobūdį turi teisę vykdyti konkrečias su Duomenų tvarkymu susijusias funkcijas.
1.3. BDAR – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).
1.4. Bendrovė – Duomenų tvarkytojas UAB „Katuitai“, juridinio asmens kodas 304553275.
1.5. Darbuotojas reiškia asmenį, kuris su Bendrove yra sudaręs darbo sutartį, laikinojo darbo sutartį arba savanoriškos veiklos sutartį.
1.6. Duomenys/Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
1.7. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami Asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
1.8. Duomenų subjektas – Bendrovės darbuotojas, klientas ar kitas fizinis asmuo, kurio Asmens duomenis tvarko Bendrovė.
1.9. Duomenų tvarkymas reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, tokius kaip: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas.
1.10. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Bendrovės vardu tvarko Asmens duomenis.
1.11. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra Paslaugų vartotojas, Bendrovė, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu Bendrovės ar Duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
1.12. Kitos Politikoje vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas.
2. BENDROSIOS NUOSTATOS
2.1. Šios Politikos paskirtis – Pranešti Duomenų subjektams apie jų Duomenų tvarkymo tvarką ir jų saugojimo terminus bei nurodyti jų turimas teisės šių duomenų ir Bendrovės atžvilgiu.
2.2. Bendrovė užtikrina, kad ji atitinka šiuos esminius su asmens duomenų tvarkymu susijusius principus:
2.2.1. Asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
2.2.2. Asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;
2.2.3. Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
2.2.4. Asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
2.2.5. Asmens duomenys turi būti laikomi tokia forma, kad Duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais jie yra tvarkomi;
2.2.6. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
2.2.7. Bendrovė yra atsakinga už tai, kad būtų laikomasi aukščiau nurodytų principų.
2.3. Bendrovė gali įgalioti savo valdomus Duomenis tvarkyti Duomenų tvarkytojus, t. y., informacinių technologijų ir elektroninių ryšių paslaugų teikėjus, patarėjus, auditorius, konsultantus, saugos tarnybas ir kitus asmenis, kurie Bendrovės valdomus duomenis tvarko nustatytais tikslais ir pagal Bendrovės nurodymus. Duomenų tvarkytojo prieigos teisės prie Duomenų naikinamos nutraukus asmens duomenų tvarkymo sutartį, sudarytą su Bendrove, ar šiai sutarčiai nustojus galioti.
3. TINKAMAS DUOMENŲ SUBJEKTŲ INFORMAVIMAS
3.1. Bendrovės valdomi duomenys tretiesiems asmenims teikiami esant Duomenų subjekto sutikimui arba kitam teisėto duomenų teikimo pagrindui.
3.2. Duomenų subjektams, prieš pradedant tvarkyti jų Asmens duomenis, būtina pateikti šią informaciją:
3.2.1. Bendrovės pavadinimą, rekvizitus ir kontaktinius duomenis;
3.2.2. Duomenų tvarkymo tikslus;
3.2.3. Duomenų tvarkymo teisinį pagrindą;
3.2.4. Duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;
3.2.5. Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
3.2.6. Teisę prašyti, kad Bendrovė leistų susipažinti su Duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad Duomenys būtų tvarkomi, taip pat teisę į Duomenų perkeliamumą;
3.2.7. Teisę pateikti skundą priežiūros institucijai;
3.2.8. Jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
3.2.9. Kai taikoma, apie Bendrovės ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai;
3.2.10. Kai taikoma, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio Duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektams.
3.3. Informacija turi būti pateikiama glausta, skaidria, aiškia ir lengvai prieinama forma, paprasta kalba.
3.4. Informacija pateikiama šioje politikoje, raštu, el. paštu arba kitomis priemonėmis. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu.
3.5. Apie konkretų asmenį renkama informacija pateikiama tik Duomenų subjektui įrodžius savo tapatybę ir pateikus pasirašytą prašymą ar jo kopiją.
3.6. Pareiga pateikti informaciją netaikoma tiek, kiek:
3.6.1. Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų. Tokiais atvejais Bendrovė imasi tinkamų priemonių Duomenų subjekto laisvėms bei teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
3.6.2. Duomenų gavimo ar atskleidimo faktas aiškiai nustatytas ES arba Lietuvos Respublikos teisės aktuose, kuriuose nustatytos tinkamos teisėtų Duomenų subjekto interesų apsaugos priemonės;
3.6.3. Kai asmens duomenys privalo išlikti konfidencialūs, įskaitant nustatytą prievolę saugoti paslaptį.
4. DUOMENŲ SAUGOJIMO TERMINAI
4.1. Bendrovė taiko skirtingus asmens duomenų saugojimo terminus priklausomai nuo tvarkomų asmens duomenų kategorijų:
Nr. |
Asmens duomenų tvarkymo tikslas |
Saugojimo terminas |
1. |
Duomenų tvarkymas tiesioginės rinkodaros tikslais |
10 metų nuo sutikimo davimo |
2. |
Duomenų tvarkymas reklaminių akcijų tikslais |
1 metai nuo sutikimo davimo |
3. |
Duomenų tvarkymas elektroninės prekybos tikslais |
2 metai nuo paskutinio prisijungimo ar pirkimo |
4. |
Duomenų tvarkymas su tikslu dalyvauti kosmetikos produkto testavime |
3 metus nuo tyrimo pabaigos |
5. |
Vaizdo stebėjimas nuosavybės teisės apsaugos tikslais |
Ne ilgiau nei 30 dienų |
6. |
Vaizdo stebėjimas mokymų organizavimo ir vykdymo tikslais |
Ne daugiau nei 1 metai |
4.2. Išimtys iš aukščiau nurodytų saugojimo terminų gali būti nustatomos tiek, kiek tokie nukrypimai nepažeidžia Duomenų subjekto teisių, atitinka teisinius reikalavimus ir yra tinkamai dokumentuoti.
4.3. Jeigu Duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, Duomenys gali būti saugomi tiek, kiek reikalinga šiems Duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
5. DUOMENŲ SUNAIKINIMAS
5.1. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis.
5.2. Elektronine forma saugomi Asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.
5.3. Už elektronine forma saugomų asmens duomenų rinkmenų sunaikinimą atsako konkrečiu kompiuteriu, kuriame saugomos asmens duomenų rinkmenos, dirbantis darbuotojas.
5.4. Už Bendrovės duomenų bazėse ir IT sistemose esančių duomenų sunaikinimą atsakingi šias sistemas administruojantys darbuotojai.
6. DUOMENŲ SUBJEKTŲ TEISĖS
6.1. Duomenų subjektas gali įgyvendinti šias teises:
6.1.1. Teisė būti informuotam;
6.1.2. Prieigos teisė;
6.1.3. Ištrynimo teisė;
6.1.4. Teisė į patikslinimą;
6.1.5. Teisė apriboti duomenų tvarkymą;
6.1.6. Teisė į duomenų perkeliamumą;
6.1.7. Teisė prieštarauti duomenų tvarkymui;
6.1.8. Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu.
7. ASMENS DUOMENŲ TEISIŲ ĮGYVENDINIMO TVARKA
7.1. Duomenų subjektas, pateikęs Bendrovei ar Duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius 1 metus.
7.2. Asmens duomenys Duomenų subjektui susipažinti teikiami, taip pat taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal Duomenų subjekto tapatybę ir jo Asmens duomenis patvirtinančius dokumentus arba elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, gavus Duomenų subjekto prašymą. Duomenų subjektui kreipiantis į Bendrovę raštu, prie prašymo pridedamas notaro patvirtintas asmens tapatybę patvirtinančio dokumento nuorašas, išskyrus atvejus, kai rašytinis prašymas pateikiamas tiesiogiai Bendrovės darbuotojams ir prašymo pateikimo metu yra galimybė identifikuoti prašymą teikiantį Duomenų subjektą.
7.3. Duomenų subjektų prašymus dėl tvarkomų Asmens duomenų priima Bendrovės direktorius ar įgaliotas darbuotojas(-ai).
7.4. Bendrovė, gavusi Duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję Asmens duomenys yra tvarkomi, ir pateikti Duomenų subjektui prašomus Duomenis ne vėliau kaip per 30 kalendorinių dienų nuo Duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie Duomenys turi būti pateikiami raštu.
7.5. Duomenų subjektui teikiant Bendrovės tvarkomus Duomenų subjekto Asmens duomenis, Bendrovė užtikrina tinkamas organizacines ir technines duomenų saugumo priemones, kad iš pateiktų Duomenų nebūtų galima identifikuoti kitų Duomenų subjektų.
7.6. Bendrovė, gavusi Duomenų subjekto paklausimą dėl vaizdo duomenų, susijusių su juo, tvarkymo, ne vėliau kaip per 3 darbo dienas nuo Duomenų subjekto prašymo gavimo dienos atsako, ar su juo susiję vaizdo duomenys yra saugomi, ir, jei saugomi, Bendrovė vaizdo duomenis įrašo ir pateikia saugioje duomenų laikmenoje (CD, DVD, kt.).
7.7. Bendrovės tvarkomi Duomenų subjekto asmens Duomenys kartą per kalendorinius metus Duomenų subjektui teikiami neatlygintinai.
7.8. Antrąkart metuose Duomenų subjektui teikiant Asmens duomenis, vaizdo įrašą, Duomenų subjektas informuojamas apie nustatytą atlyginimo dydį (pavyzdžiui, už CD, DVD ar kitos laikmenos, kurioje yra vaizdo įrašo kopija, gavimą, dokumentų rengimą ir t.t.), duomenų teikimo apmokėjimo tvarką. Teikiant duomenis atlygintinai vadovaujamasi principu, kad atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų bei Duomenų teikimo Duomenų subjektui atlyginimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2011 m. rugsėjo 14 d. nutarimu Nr. 1074.
7.9. Jeigu Duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jo Asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Bendrovę, Bendrovė nedelsdama privalo Asmens duomenis patikrinti ir Duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdama ištaisyti neteisingus, neišsamius, netikslius Asmens duomenis ir (arba) sustabdyti tokių Asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
7.10. Jeigu Duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į Bendrovę, Bendrovė nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas, privalo neatlygintinai patikrinti Asmens duomenų tvarkymo teisėtumą, sąžiningumą ir Duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdama sunaikinti neteisėtai ir nesąžiningai sukauptus Asmens duomenis ar sustabdyti tokių Asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.
7.11. Duomenų subjekto prašymu sustabdžius jo Asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (Duomenų subjekto prašymu arba pasibaigus Duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais Asmens duomenimis gali būti atliekami tik turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti; jei Duomenų subjektas duoda sutikimą toliau tvarkyti savo Asmens duomenis; jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.
7.12. Bendrovė nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas, praneša Duomenų subjektui apie jo prašymu atliktą ar neatliktą Asmens duomenų ištaisymą, sunaikinimą ar Asmens duomenų tvarkymo veiksmų sustabdymą.
7.13. Bendrovei abejojant Duomenų subjekto pateiktų Asmens duomenų teisingumu, Bendrovė sustabdo tokių Duomenų tvarkymo veiksmus, Duomenis patikrina ir patikslina. Tokie Asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.
7.14. Bendrovė nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas, informuoja duomenų gavėjus apie Duomenų subjekto prašymu ištaisytus ar sunaikintus Asmens duomenis, sustabdytus Asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio Duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
7.15. Bendrovė Duomenų subjekto prašymu praneša Duomenų subjektui apie jo Asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti Duomenų tvarkymo veiksmus.
7.16. Jeigu nustatoma, kad Bendrovė Duomenų subjekto Asmens duomenis tvarko neteisėtai ir nesąžiningai, šie Duomenys nedelsiant, tačiau ne vėliau kaip per 5 darbo dienas, sunaikinami Bendrovės iniciatyva arba Duomenų subjekto prašymu.
7.17. Duomenų subjektas rašytinį pranešimą apie nesutikimą dėl Asmens duomenų tvarkymo pateikia Bendrovei asmeniškai, paštu ar elektroninių ryšių priemonėmis. Jeigu Duomenų subjekto nesutikimas yra teisiškai pagrįstas, Bendrovė privalo nedelsdama, tačiau ne vėliau kaip per 5 darbo dienas, neatlygintinai nutraukti Asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.
7.18. Kai Asmens duomenys tvarkomi ADTAĮ 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytu teisiniu pagrindu, Duomenų subjektas turi teisę nesutikti, kad jo Asmens duomenys būtų tvarkomi, nenurodydamas nesutikimo motyvų. Bendrovė prieš rinkdama Asmens duomenis supažindina Duomenų subjektą su teise nesutikti, kad jo asmens duomenys būtų tvarkomi. Duomenų subjekto prašymu Bendrovė privalo pranešti Duomenų subjektui apie jo Asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti Duomenų tvarkymo veiksmus.