UAB „FREUGHT LT“
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
1. BENDROSIOS NUOSTATOS
1.1. UAB „FREUGHT LT“, (duomenys kaupiami LR juridinių asmenų registre, juridinio asmens kodas – 304829955, buveinės adresas – Vito Gerulaičio g. 10, LT-08200 Vilnius, Lietuva, el. pašto adresas: admin@freught.com) (toliau – „Bendrovė“) Asmens duomenų tvarkymo taisyklės (toliau – „Taisyklės“) nustato Bendrovės, kaip asmens duomenų valdytojos, įgyvendinamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims (toliau – „Duomenys“) nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
1.2. Šios Taisyklės parengtos vadovaujantis Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – „Reglamentas“) Lietuvos Respublikos asmens duomenų teisinės apsaugos (toliau – „ADTAĮ“) įstatymu ir kitais asmens duomenų teisinę apsaugą reglamentuojančiais teisės aktais.
1.3. Bendrovė atlieka asmens duomenų tvarkymo įrašus pagal Taisyklių 1 priedą, kuriose nurodomi asmens duomenų tvarkymo tikslai, apimtis ir saugojimo terminų aprašas ir kita informacija.
1.4. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Reglamente, ADTAĮ, ir kituose teisės aktuose.
1.5. Bendrovės vadovas turi teisę paskirti už asmens duomenų apsaugą atsakingą asmenį Bendrovėje, jei toks asmuo nepaskiriamas, tuomet už Taisyklių įgyvendinimą, jų vykdymo kontrolę ir duomenų apsaugą Bendrovėje yra atsakingas Bendrovės vadovas.
1.6. Asmens duomenų tvarkymo tikslai, asmens duomenų kategorijos, duomenų gavėjų kategorijos, asmens duomenų saugojimo terminas ir kiti su asmens duomenų tvarkymu susiję klausimai yra detalizuojami Prisijungimų prie sistemų įrašų saugojimo, duomenų tvarkymo veiklos įrašų atlikimo ir priežiūros tvarkoje (1 priedas).
2. DUOMENŲ TVARKYMO PRINCIPAI
2.1. Bendrovėje tvarkomi asmens duomenys turi būti:
2.1.1. duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
2.1.2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);
2.1.3. adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
2.1.4. tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
2.1.5. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);
2.1.6. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
2.2. Bendrovė užtikrina tokį asmens duomenų saugumą, kuris atitiktų galimas su tokiais duomenims susijusias rizikas.
2.3. Bendrovės veikloje laikomasi pritaikytosios ir standartizuotos duomenų apsaugos principų, jei nustatoma, kad reikalinga.
2.4. Siekdama laikytis pritaikytosios asmens duomenų apsaugos reikalavimo, tiek nustatydama duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, Bendrovė privalo taikyti tinkamas technines ir organizacines priemones, kuriomis įgyvendinami duomenų apsaugos principai ir į duomenų tvarkymą yra integruojamos apsaugos priemonės, kurių tikslas yra atitikti Reglamento reikalavimus ir apsaugoti duomenų subjektų teises.
2.5. Siekdama laikytis standartizuotosios duomenų apsaugos reikalavimo, Bendrovė įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Visų pirma, tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
2.6. Už kiekvienos naujos paslaugos, produkto ar kitokios veiklos vystymą atsakingas darbuotojas apie planuojamus pokyčius, kurie gali turėti įtakos asmens duomenų apsaugai, informuoja už asmens duomenų apsaugą atsakingą asmenį (jei jo nėra – Bendrovės vadovą) ir suteikia jam informaciją, reikalingą tinkamam įvertinimui atlikti ir duomenų apsaugos reikalavimams įgyvendinti.
2.7. Jeigu naujas produktas ar paslauga apima naujų technologijų naudojimą arba yra pagrindo manyti, kad nauja paslauga ar produktas gali fizinių asmenų teisėms ir laisvėms kelti didelį pavojų, atliekamas poveikio duomenų apsaugai vertinimas.
2.8. Nauja paslauga ar produktas, kurie susiję su asmens duomenimis, nėra pradedami teikti ar parduoti tol, kol nėra įvertinta jų atitiktis Reglamento reikalavimams arba, kai to reikia, nėra atliktas poveikio duomenų apsaugai vertinimas.
2.9. Duomenų valdytojo darbuotojai savo kompetencijos ribose tvarkydami asmens duomenis privalo užtikrinti, kad principų, išvardintų šiame skyriuje, būtų griežtai laikomasi.
3. RENKAMOS INFORMACIJOS POBŪDIS IR TEISĖS
3.1. Bendrovė gali rinkti ir tvarkyti šiuos asmens duomenis:
3.1.1. Pagrindinė informacija: vardas, pavardė, asmens kodas, gimimo data, adresas (buveinė), telefono numeris, el. pašto adresas, parašas, naudotojo vardas;
3.1.2. Informacija apie įsigyjamas paslaugas: informacija apie teikiamas paslaugas ir jų naudojimo trukmę, su kokybės vertinimu susijusi informacija;
3.1.3. Informacija apie atsiskaitymus už paslaugas: klientui pateikiamų sąskaitų duomenys, duomenys apie klientų ar kitų asmenų įmokas, informacija apie skolos valdymą (įskaitant duomenų perdavimą tretiesiems asmenims);
3.1.4. Informaciją apie sutikimą dėl tiesioginės rinkodaros: informacija apie asmens pateiktą sutikimą/nesutikimą dėl reklaminės (naujienos, programos pasiūlymai, akcijos, kvietimai į renginius ir pan.) informacijos gavimo, dalyvavimo nuomonių tyrimuose, duomenų panaudojimo, duomenų teikimo tretiesiems asmenims. Asmenims, kurie yra jaunesni negu 14 metų, tiesioginės rinkodaros pasiūlymai teikiami tik gavus tėvų arba kitų teisėtų globėjų sutikimą;
3.1.5. Komunikacijos ir aptarnavimo informacija: duomenys apie naršymą Bendrovės tinklalapiuose bei savitarnos svetainėse (surenkami naudojant slapukus ir panašias technologijas); susirašinėjimo su Bendrove informacija (per savitarną, el. paštą, pritaikytas programas ir pan.), asmens kreipimaisi ir Bendrovės atsakymai dėl spręstinų klausimų;
3.1.6. kiti duomenys: duomenys surinkti iš kitų teisėtų šaltinių, nepatenkantys į aukščiau nurodytas kategorijas (prizų laimėtojų informacija, informacija apie apklausos dalyvius).
3.2. Visi Asmens duomenys tvarkomi tik gavus išankstinį sutikimą dėl Asmens duomenų tvarkymo, išskyrus atvejus, kai Asmens duomenys yra tvarkomi:
3.2.1. sutartiniu pagrindu ir/arba siekiant sudaryti sutartis su potencialiais klientais bei teikiant jiems prekes ir/ar paslaugas;
3.2.2. siekiant užtikrinti visuomenės saugumą, viešąją tvarką, apginti asmenų gyvybę, sveikatą, turtą ir kitas asmenų teises ir laisves (vaizdo stebėjimas);
3.2.3. dėl Bendrovės teisėto intereso (pvz., Bendrovė turi teisę stebėti darbuotojų elektroninę komunikaciją).
3.3. Sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis arba žodinis pareiškimas. Tyla, iš anksto pažymėti langeliai arba neveikimas negali būti laikoma sutikimu.
3.4. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto Asmens duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą.
3.5. Sutikimas turėtų apimti visą Asmens duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų, jei konkrečiu atveju nėra kito teisėto asmens duomenų tvarkymo pagrindo.
3.6. Asmens duomenų kopijavimo, IT tęstinumo tvarka bei techninės duomenų saugumo priemonės yra nustatytos Bendrovės IT sistemų ir jų saugumo priemonių bei procedūrų aprašyme.
4. DUOMENŲ TEIKIMAS
4.1. Bendrovė Klientams teikdama paslaugas ir vykdydama kitą savo veiklą tam tikrais atvejais turi teisę perduoti Asmens duomenis trečiosioms šalims.
4.2. Bendrovės valdomi duomenys teikiami trečiosioms šalims pagal Bendrovės ir duomenų gavėjo sudarytą duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju).
4.3. Duomenų teikimo sutartyje ir prašyme pateikti duomenis turi būti nurodomas duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų duomenų apimtis.
4.4. Bendrovei teikiant duomenis prioritetas teikiamas automatiniam duomenų teikimui, o teikiant duomenis pagal duomenų gavėjo prašymą, – duomenų teikimui elektroninių ryšių priemonėmis.
5. DUOMENŲ SUBJEKTŲ TEISĖS
5.1. Duomenų subjektai, kurių asmens duomenys tvarkomi Bendrovės, teisės aktų nustatyta tvarka informuojami apie jų duomenų tvarkymą.
5.2. Duomenų subjektų prašymų, siekiant pasinaudoti jiems suteikiamomis teisėmis, nagrinėjimo ir įgyvendinimo tvarka nustatyta atskiru Bendrovėje galiojančiu bei taikomu dokumentu (procedūra), kuris yra neatsiejama nuo šių Taisyklių sudėtinė dalis (Taisyklių 4 priedas).
5.3. Duomenų subjekto duomenys gali būti tvarkomi tiesioginės rinkodaros tikslu tik turint duomenų subjekto išankstinį sutikimą. Duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.
5.4. Jei Bendrovė, teikdama paslaugas ar vykdydama veiklą, gavo iš kliento jo kontaktinius duomenis (vardą, pavardę, adresą, el. pašto adresą ir pan.), ji šiuos duomenis gali naudoti be atskiro kliento sutikimo tik savo pačios ar grupės įmonių panašių paslaugų rinkodaros tikslais, jeigu klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti ar atsisakyti tokio duomenų naudojimo rinkodaros tikslais.
5.5. Klientas turi teisę nesutikti, kad jo duomenys būtų tvarkomi tiesioginės rinkodaros tikslu nenurodydamas nesutikimo motyvų.
5.6. Asmens kodas tiesioginės rinkodaros tikslais negali būti tvarkomas.
6. PRIEIGOS, PRIE ASMENS DUOMENŲ, VALDYMAS IR KONTROLĖ
6.1. Bendrovė užtikrina prieigos prie duomenų apsaugą, valdymą ir kontrolę.
6.2. Prieigos teisė ir įgaliojimai tvarkyti duomenis suteikiami tik tiems Bendrovės darbuotojams, kuriems duomenys yra reikalingi jų funkcijoms vykdyti.
6.3. Įgalioti Bendrovės darbuotojai su duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti jiems yra suteiktos teisės.
6.4. Asmenų, kuriems Bendrovė suteikė teisę tvarkyti duomenis, ir jų funkcijų sąrašas pridedamas kaip 2 priedas.
6.5. Prieigos teisės prie popierinių bylų yra suteiktos darbuotojams, kuriems yra priskirtas atitinkamų duomenų valdymas bei priežiūra. Jos gali būti panaikinamos ar keičiamos atskiru Bendrovės vadovo sprendimu. Tokios bylos privalo būti saugojamos ir laikomos tik darbuotojams skirtose patalpose į kurias tretieji asmenys negali patekti bei laikomos rakinamose spintose.
6.6. Prieigos teisės prie vidinių – elektroninių formatu saugomų failų yra suteiktos darbuotojams, kuriems yra priskirtas atitinkamų duomenų valdymas bei priežiūra. Tokie darbuotojai savo kompiuteriuose kaupia informaciją atitinkamuose failuose, prie kurių gali prieiti tik iš savo darbo vietų ir nėra prieigos per duomenų perdavimo tinklus.
6.7. Vidinis Bendrovės kompiuterių tinklas nuo neteisėto prisijungimo elektroninių ryšių priemonėmis apsaugomas veiksminga ugniasiene.
6.8. Prisijungimas prie Bendrovės valdomos duomenų bazės apsaugotas konfidencialiu slaptažodžiu. Slaptažodis sudaromas iš ne mažiau kaip 8 (aštuonių) simbolių, jį privalo sudaryti lotyniškos raidės ir skaičiai, nenaudojant asmeninio pobūdžio informacijos. Slaptažodžiai Bendrovėje keičiami kartą per 2 (du) mėnesius. Pirmojo prisijungimo metu Bendrovės darbuotojai privalo pasikeisti slaptažodį. Bendrovės darbuotojai privalo saugoti slaptažodžių konfidencialumą.
6.9. Prieigos prie duomenų kontrolė:
6.9.1. fiksuojamos ir kaupiamos registravimosi bei teisių gavimo pastangos;
6.9.2. registravimas bei prisijungimas galimas tik iš vidinio Bendrovės kompiuterio tinklo;
6.9.3. nustatytas 3 (trijų) kartų leistinas prisijungimų skaičius;
6.9.4. fiksuojami prisijungimų prie duomenų įrašai: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas);
6.9.5. teikiamų duomenų paieškos užklausoje nurodomas duomenų naudojimo tikslas (-ai);
6.9.6. prisijungimų prie duomenų įrašai saugomi 1 (vienerius) metus;
6.10. Duomenys yra saugomi „Microsoft Data“ serveryje.
6.11. Jeigu buvo nustatyta, kad darbuotojas netinkamai tvarko asmens duomenis (neužtikrina tokių duomenų saugumo, netinkamai juos kaupia ir pan.) Bendrovės vadovas gali panaikinti prieigas ir įgaliojimus prie tokių duomenų. Jeigu darbuotojas asmens duomenis tvarko ne Bendrovės veiklos tikslais, Bendrovės vadovas nedelsiant panaikina visas prieigas tokiam darbuotojui ir priima tolimesnius sprendimus susijusius su darbo santykių reglamentavimu.
7. FIZINĖS DUOMENŲ SAUGUMO PRIEMONĖS
7.1. Į patalpas, kuriose saugomi duomenys, gali patekti tik įgalioti asmenys.
8. ASMENS DUOMENŲ GAVIMO (TEIKIMO) SAUGUMO PRIEMONĖS
8.1. Duomenys gaunami / teikiami išorinėje duomenų laikmenoje / elektroniniu paštu užtikrinama duomenų saugos kontrolė ir duomenys po jų panaudojimo ištrinami.
8.2. Saugus duomenų gavimas / teikimas išoriniais duomenų perdavimo tinklais yra užtikrinamas https protokolo ir slaptažodžio naudojimu.
9. ASMENS DUOMENŲ NAIKINIMAS
9.1. Duomenys Bendrovėje sunaikinami už šių Taisyklių įgyvendinimą atsakingo asmens sprendimu/veiksmu pasibaigus duomenų saugojimo terminams ar kitais teisės aktuose ir Taisyklėse numatytais pagrindais.
10. KOMPIUTERINĖS IR PROGRAMINĖS ĮRANGOS NAUDOJIMAS IR PRIEŽIŪRA
10.1. Užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (pvz., antivirusinių programų įdiegimas, atnaujinimas).
10.2. Registruojami duomenų kopijavimo, jeigu jis daromas, ir atkūrimo jų avarinio praradimo atveju veiksmai (kada ir kas atliko šiuos veiksmus).
10.3. Siekiant apsaugoti Bendrovės tvarkomus duomenis nuo praradimo ar neteisėto pakeitimo, yra reguliariai daromos atsarginės kopijos ir saugomi specialiose laikmenose. Atsarginių kopijų darymą Bendrovėje kontroliuoja už šių Taisyklių įgyvendinimą atsakingas asmuo, padedamas kompetentingų Bendrovės darbuotojų.
10.4. Duomenų pažeidimo ar avarinio praradimo atveju, duomenys Bendrovėje atkuriami iš kopijų už šių Taisyklių įgyvendinimą atsakingo asmens sprendimu ir padedant kompetentingiems Bendrovės darbuotojams.
10.5. Informacinių sistemų testavimas nevykdomas su realiais duomenimis.
10.6. Priežiūra atliekama pasitelkiant Microsoft programinės įrangos galimybes.
11. KITOS DUOMENŲ SAUGUMO PRIEMONĖS
11.1. Duomenų saugumo pažeidimų valdymą Bendrovėje nuolat atlieka už Asmens duomenų apsaugą atsakingas asmuo (jei jo nėra – Bendrovės vadovas). Nustatęs konkrečias duomenų apsaugos Bendrovėje rizikas jis nedelsdamas informuoja atsakingus asmenis ir imasi visų galimų techninių ir organizacinių priemonių joms pašalinti.
11.2. Duomenų tvarkymo keliamos rizikos vertinimas Bendrovėje atliekamas reguliariai. Atsižvelgiant į rizikos vertinimo rezultatus, įdiegiamos reikiamos duomenų saugumo priemonės. Vertinimo ar audito rezultatai įforminami tik tuo atveju, jei Bendrovėje nustatyta duomenų apsaugos trūkumų.
11.3. Bendrovės kompiuteriuose galima naudoti tik licencijuotą programinę įrangą.
11.4. Bendrovės darbuotojus, kuriems suteikta teisė tvarkyti duomenis, informuoja ir jų mokymus organizuoja už Taisyklių įgyvendinimą atsakingas asmuo, atsižvelgęs į teisinius reikalavimus, realius Bendrovės poreikius ir finansines galimybes.
11.5. Bendrovėje įvykus asmens duomenų apsaugos pažeidimui, sprendžiant dėl tolesnių veiksmų vadovaujamasi asmens duomenų saugumo pažeidimų registravimo ir pranešimo apie įvykusį asmens duomenų apsaugos pažeidimą pateikimo tvarka (Taisyklių Priedas Nr. 4)
12. BAIGIAMOSIOS NUOSTATOS
12.1. Taisyklių neatsiejama dalimi yra jų priedai:
12.1.1. Prisijungimų prie sistemų įrašų saugojimo, duomenų tvarkymo veiklos įrašų atlikimo ir priežiūros tvarka;
12.1.2. Asmenų, kuriems Bendrovė suteikė teisę tvarkyti duomenis, ir jų funkcijų sąrašas;
12.1.3. Asmens duomenų saugumo pažeidimų registravimo ir pranešimo apie įvykusį asmens duomenų apsaugos pažeidimą pateikimo tvarka;
12.1.4. Duomenų subjektų prašymų, siekiant pasinaudoti Reglamentu suteikiamomis teisėmis, nagrinėjimo ir įgyvendinimo tvarka.
12.2. Taisyklės įsigalioja jas patvirtinus.
12.3. Bendrovės darbuotojai su Taisyklėmis supažindinami pasirašytinai.
12.4. Taisyklės peržiūrimos kartą per metus ir, esant poreikiui, atnaujinamos.
PRISIJUNGIMŲ PRIE SISTEMŲ ĮRAŠŲ SAUGOJIMO, DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ ATLIKIMO IR PRIEŽIŪROS TVARKA
1. BENDROSIOS NUOSTATOS
1.1. UAB „FREUGHT LT“, (duomenys kaupiami LR juridinių asmenų registre, juridinio asmens kodas – 304829955, buveinės adresas – Vito Gerulaičio g. 10, LT-08200 Vilnius, Lietuva, el. pašto adresas – admin@freught.com) (toliau – „Bendrovė“) Prisijungimų prie sistemų įrašų saugojimo, duomenų tvarkymo veiklos įrašų atlikimo ir priežiūros tvarka (toliau – „Tvarka“) nustato reikalavimus prisijungimų prie sistemų saugojimo, asmens duomenų tvarkymo veiklos įrašų atlikimo ir priežiūros procedūrai Bendrovėje.
1.2. Tvarka parengta vadovaujantis Reglamento, ADTAĮ ir kitų teisės aktų, reguliuojančių asmens duomenų apsaugą ir tvarkymą, nuostatomis.
1.3. Tvarka yra taikoma ir yra privaloma Bendrovei bei visiems joje dirbantiems asmenims.
1.4. Tvarkoje vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Bendrovės asmens duomenų tvarkymo taisyklėse, taip pat Reglamente, ADTAĮ ir kituose teisės aktuose.
1.5. Pasikeitus šios Tvarkos nuostatoms, apie pakeitimus Bendrovės darbuotojai informuojami elektroniniu paštu arba kitomis priemonėmis.
1.6. Prisijungimų prie sistemų priežiūrą, duomenų tvarkymo veiklos įrašų atlikimo ir priežiūrą atlieka už asmens duomenų apsaugą atsakingas Bendrovės darbuotojas arba, jei jo nėra, Bendrovės vadovas (toliau – „Atsakingas asmuo“). Kitas asmuo šias funkcijas atlikti gali tik Bendrovės vadovo pavedimu.
2. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
2.1. Bendrovė tvarko asmens duomenų tvarkymo veiklos, už kurią yra atsakinga, įrašus. Įrašuose turi būti pateikiama bei nuolat atnaujinama informacija, susijusi su Bendrovėje atliekamu asmens duomenų tvarkymu.
2.2. Gavęs Bendrovės darbuotojo (toliau – „Siuntėjas“) pranešimą apie reikalingą duomenų tvarkymo veiklos įrašo įvedimą ir visą reikalingą informaciją, Atsakingas asmuo žymą duomenų tvarkymo veiklos įrašų registre (toliau – „Registras“) atlieka per 5 darbo dienas. Jei reikalingas papildomas pranešimo tikslinimas/pagrindimas, Atsakingas asmuo apie tai ne vėliau nei per 3 darbo dienas informuoja Siuntėją ir paprašo pateikti papildomą informaciją. Atlikęs veiklos įrašą Atsakingas asmuo informuoja Siuntėją, kad registracija sėkminga.
2.3. Atvejai, kai Siuntėjas teikia raštišką pranešimą Atsakingam asmeniui apie reikalingą duomenų tvarkymo veiklos įrašo įvedimą:
2.3.1. Keičiasi, atsiranda naujas arba išnyksta (kai Pranešimas teikiamas ne pirmą kartą) vienas arba keli iš žemiau įvardintų kriterijų / veiksnių:
2.3.1.1. asmens duomenų tvarkymo tikslas;
2.3.1.2. duomenų subjektų kategorijos;
2.3.1.3. asmens duomenų kategorijos;
2.3.1.4. duomenų gavėjų kategorijos;
2.3.1.5. duomenų perdavimas į trečiąsias valstybes (tarptautines organizacijas) (jei vykdomas);
2.3.1.6. priemonės, taikomos saugiam duomenų perdavimui į trečiąsias valstybes (tarptautines organizacijas) (jei vykdomas);
2.3.1.7. asmens duomenų saugojimo terminas;
2.3.1.8. taikomos bendrosios techninės ir organizacinės saugumo priemonės.
2.3.2. Siuntėjas taip pat raštu privalo informuoti Atsakingą asmenį, jeigu:
2.3.2.1. keičiasi duomenų rinkimo teisinis pagrindas;
2.3.2.2. keičiasi, atsiranda papildomos ar nebėra atliekamos anksčiau Pranešime nurodytos duomenų tvarkymo procedūros;
2.3.2.3. duomenys pradedami / nustojami tvarkyti automatizuotu būdu;
2.3.2.4. duomenys pradedami tvarkyti juos profiliuojant / duomenis nustojama tvarkyti profiliavimo būdu.
2.4. Atsakingas asmuo periodiškai, bet ne rečiau kaip kartą per 6 mėnesius, peržiūri, tikrina ir esant poreikiui atnaujina Registrą. Taip pat gali būti vykdoma neplaninė Registro peržiūra. Atliktą patikros procedūrą ir/arba bet kokius kitus reikalingus atlikti papildomus veiksmus (jei tokių būtų), pvz., Atsakingo asmens teikiamą Siuntėjui prašymą patikslinti iš jo gautą informaciją, Atsakingas asmuo pažymi patikrinimo akte. Esant poreikiui ir/arba būtinybei apie patikrinimo rezultatus Atsakingas asmuo informuoja Bendrovės vadovą.
2.5. Pagal gautus Pranešimus, Atsakingas asmuo Registre žymi žemiau įvardintus duomenis:
2.5.1. duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktinius duomenis;
2.5.2. duomenų tvarkymo tikslus;
2.5.3. duomenų subjektų kategorijas;
2.5.4. asmens duomenų kategorijas;
2.5.5. duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijas;
2.5.6. asmens duomenų perdavimus į trečiąją valstybę arba tarptautinei organizacijai (jei vykdomi), įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą;
2.5.7. priemones, taikomas saugiam duomenų perdavimui į trečiąsias valstybes (tarptautines organizacijas) (jei vykdomas) (nurodomi taikomas apsaugos priemones įtvirtinantys dokumentai);
2.5.8. kai įmanoma, įvairių kategorijų duomenų ištrynimo terminai;
2.5.9. kai įmanoma, bendras taikomų techninių ir organizacinių saugumo priemonių aprašymas.
Šios tvarkos 2.5.8 – 2.5.9 punktuose naudojama sąvoką „kai įmanoma“ neturėtų būti vertinama kaip pasirinkimas. Minėtus aspektus privaloma apsibrėžti, išskyrus, kai to neįmanoma padaryti dėl specifinio reguliavimo, numatyto kituose teisės aktuose ar kitų svarbių aplinkybių.
2.6. Reglamente, kituose teisės aktuose ir šiose Taisyklėse numatytais atvejais, sprendžiant aktualius Bendrovės veikloje tvarkomų asmens duomenų klausimus, gali būti priimami ir sprendimai dėl specifinių asmens duomenų tvarkymo sąlygų taikymo.
2.7. Įgaliotai valdžios institucijai pateikus Bendrovei pagrįstą reikalavimą susipažinti su duomenų tvarkymo veiklos įrašais, atitinkamus įrašus, per prašyme nustatytą terminą, pateikia Bendrovės vadovas arba, jo pavedimu, kitas Bendrovės darbuotojas.
2.8. Duomenų tvarkymo veiklos įrašai yra tvarkomi raštu. Rašytinei formai yra prilyginama ir elektroninė forma, saugoma kompiuteryje.
3. PRISIJUNGIMŲ PRIE SISTEMŲ ĮRAŠAI
3.1. Tinkamam duomenų tvarkymo veiklos įrašų įgyvendinimui užtikrinti ir jiems pagrįsti (esant poreikiui) Bendrovės naudojamose duomenų tvarkymo IT sistemose, kuriose tvarkomi asmens duomenys, fiksuojami darbuotojų prisijungimų prie IT sistemų įrašai (toliau – „Prisijungimo įrašai“).
3.2. Renkant Prisijungimo įrašus turi būti galima nustatyti žemiau įvardintą informaciją:
3.2.1. Prisijungiančio darbuotojo vardas, pavardė (arba darbuotojo identifikacinis kodas);
3.2.2. Prisijungimo data, laikas, trukmė;
3.2.3. Jungimosi rezultatas (sėkmingas, nesėkmingas);
3.2.4. Nepavykusių prisijungimų skaičius.
3.3. Informacija apie Prisijungimo įrašus IT sistemose yra saugoma ne trumpiau kaip 1 metus, išskyrus atvejus, kai informacijos negalima išsaugoti dėl vietos trūkumo saugojimo diske.
3.4. Atsakingas asmuo periodiškai bet ne rečiau kaip kartą į 3 mėnesius peržiūri sukauptus Prisijungimų įrašus. Taip pat gali būti vykdoma neplaninė Prisijungimų tvarkos peržiūra. Atliktą patikrinimą ir pastebėjimus, jei tokių būtų, Atsakingas asmuo fiksuoja Patikrinimo akte (Priedas Nr. 3) ir esant poreikiui informuoja apie juos Bendrovės vadovą.
3.5. Kilus klausimų dėl Prisijungimų įrašų fiksavimo IT sistemose darbuotojai kreipiasi į Atsakingą asmenį.
3.6. Darbuotojai, norėdami įgyvendinti Reglamento jiems suteiktas teises, teikia prašymus ir susipažįsta su prašoma informacija, tarp jų ir sukaupta Prisijungimo įrašų informacija, kaip tai numatyta Bendrovėje priimtoje Duomenų subjektų prašymų, siekiant pasinaudoti Reglamente įtvirtintomis teisėmis, nagrinėjimo ir įgyvendinimo tvarkoje.
3.7. Įgaliotai valdžios institucijai pateikus Duomenų valdytojui pagrįstą reikalavimą susipažinti su Prisijungimų įrašais, atitinkamus įrašus, per prašyme nustatytą terminą, pateikia Bendrovės vadovas arba, jo pavedimu, kitas Bendrovės darbuotojas.
3.8. Prisijungimų įrašai ir Atsakingo asmens įrašai Patikrinimo akte dėl atliktos Prisijungimo įrašų peržiūros yra saugomi Bendrovės IT sistemoje.
Nr. | Asmens duomenų tvarkymo tikslas | Duomenų subjektų kategorijos | Asmens duomenų kategorijos | Duomenų gavėjų kategorijos | Duomenų perdavimai į trečiąsias valstybes (tarptautines organizacijas) (jei vykdomi) |
Priemonės, taikomos saugiam duomenų perdavimui į trečiąsias valstybes (tarptautines organizacijas) (jei vykdomi) |
Asmens duomenų saugojimo terminas | Bendrasis taikomų techninių ir organizacinių saugumo priemonių aprašymas | Komentarai |
1. | Vidaus administravimas | Darbuotojai | Vardas, pavardė, gimimo data, asmens kodas, socialinio draudimo numeris lytis, gyvenamoji vieta (adresas), telefono ryšio numeris, elektroninio pašto adresas, atlyginimo dydis, vaikų skaičius, šeimyninė padėtis, duomenys apie darbingumo lygį, duomenys apie nedarbingumą, išsilavinimas, kvalifikacija, duomenys apie išieškojimą iš darbuotojo atlyginimo, duomenys apie darbuotojo šaukimą liudytoju, pareigų pavadinimas, atliekamos/atliktos darbines funkcijas, atostogos, komandiruotės, drausminės nuobaudos, atsiskaitomosios banko sąskaitos numeris, taip pat kiti asmens duomenys, kai teisės aktai įpareigoja Bendrovę juos tvarkyti | IT sistemų priežiūrą atliekančios IT bendrovės, archyvavimo paslauga suteikiančios bendrovės, Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos, teismai, policija bei kitos valstybės institucijos | –
|
– | Darbuotojo asmens duomenys tvarkomi jo darbo Bendrovėje metu ir 10 metų po to kai baigiasi jo darbo sutartis. Darbo sutartys, sprendimai dėl priėmimo į pareigas, perkėlimo, atleidimo iš pareigų, darbo užmokesčio, atostogų vaikui prižiūrėti, tėvystės atostogų saugomos 50 metų po atitinkamo Darbuotojo darbo sutarties pabaigos. | Taikomi Bendrieji saugumo reikalavimai numatyti Bendrovės vidinėse tvarkose | |
2. | Vidaus administravimas | Kandidatai užimti darbo vietas | Vardas, pavardė, gyvenamoji vieta (adresas), telefono numeris, elektroninio pašto adresas, gimimo data, amžius, darbovietė, išsilavinimas, pareigos, pageidaujamas darbas ir atlyginimas, gyvenimo aprašymo gavimo data, žyma apie dalyvavimą darbo pokalbyje, pokalbio data, asmenines savybės, priėmimo dirbti data, žyma apie atsisakymą priimti kandidatą, nurodant priežastį, darbo patirtis (paskutinės darbovietės, darbo stažas darbovietėje, užimtos pareigos, kita darbo patirtis), užsienio kalbų mokėjimas (kalba, skaitymo, rašymo, kalbėjimo lygiai, gebėjimas dirbti kompiuterio programomis), kiti duomenys ir motyvai, kita papildoma informacija, kurią duomenų subjektas pateikia savo noru, kandidato rekomendacija ir motyvacinis laiškas, darbinės funkcijos, kompetencijos, asmeninės savybes, rekomenduojančio asmens kontaktiniai duomenis | IT sistemų priežiūrą atliekančios IT bendrovės | –
|
– | 36 mėnesius nuo duomenų gavimo momento arba nuo duomenų subjekto dalyvavimo pokalbyje momento | Taikomi Bendrieji saugumo reikalavimai numatyti priimtame vidiniame dokumente | |
3. | Kliento / kliento atstovo tapatybės nustatymas | Klientai (fiziniai asmenys ar juridinių asmenų atstovai) | Vardas, pavardė, adresas, telefono Nr., asmens kodas, tapatybės dokumento kopija (įskaitant dokumento numerį, dokumento išdavimo, galiojimo datą, dokumentą išdavusią instituciją), paslaugų teikėjo pranešimas dėl tapatybės patvirtinimo | Paslaugų teikėjai, IT sistemų priežiūrą atliekančios IT bendrovės, archyvavimo paslaugas suteikiančios bendrovės, Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos, teismai, policija bei kitos valstybės institucijos, Lietuvos bankas | – | – | Sutartyje su paslaugos teikėju nustatytais terminais ir kiek tai reikalinga paslaugų teikimui | Taikomi Bendrieji saugumo reikalavimai numatyti Bendrovės vidinėse tvarkose | |
4. | Naudojimasis portalu (klientų duomenų bazės administravimo tikslais) | Portalo naudotojas, kurio duomenys renkami | Vardas, pavardė, gyvenamoji vieta (miestas, adresas), kontaktiniai duomenys (el. paštas, mobilaus telefono numeris), asmens kodas, bankas, banko sąskaitos numeris | IT sistemų priežiūrą atliekančios IT bendrovės, archyvavimo paslauga suteikiančios bendrovės, policija bei kitos valstybės institucijos (pvz., Lietuvos bankas) | – | – | 2 (dveji) metai nuo Naudotojo paskutinio prisijungimo prie Portalo sistemos | Taikomi Bendrieji saugumo reikalavimai numatyti Bendrovės vidinėse tvarkose | |
5. | Tiesioginė rinkodara | Portalo naudotojas (kaip suprantamas Portalo naudojimosi taisyklėse) | Vardas, pavardė, telefono numeris, el. paštas | – | – | – | 2 (dveji) metai nuo Naudotojo paskutinio prisijungimo prie Portalo sistemos | Taikomi Bendrieji saugumo reikalavimai numatyti Bendrovės vidinėse tvarkose |
UAB „FREUGHT LT“ vardu
__________________________________
Vadovas
ASMENŲ, KURIEMS BENDROVĖ SUTEIKĖ TEISĘ TVARKYTI DUOMENIS, IR JŲ FUNKCIJŲ SĄRAŠAS
1. Bendrovės vadovas;
2. Bendrovei teisines paslaugas teikiantys teisininkai;
3. IT paslaugas teikiančių įmonių atstovai;
4. Bendrovei apskaitos ir teisines paslaugas teikiančių įmonių atstovai.
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO IR PRANEŠIMO APIE ĮVYKUSĮ ASMENS DUOMENŲ APSAUGOS PAŽEIDIMĄ PATEIKIMO TVARKA
1. BENDROSIOS NUOSTATOS
1.1. UAB „FREUGHT LT“, (duomenys kaupiami LR juridinių asmenų registre, juridinio asmens kodas – 304829955, buveinės adresas – Vito Gerulaičio g. 10, LT-08200 Vilnius, Lietuva, el. pašto adresas – admin@freught.com) (toliau – „Bendrovė“) Asmens duomenų saugumo pažeidimų registravimo ir pranešimo apie įvykusį asmens duomenų apsaugos pažeidimą pateikimo tvarka (toliau – „Tvarka“) nustato reikalavimus įvykusių asmens duomenų apsaugos pažeidimų (toliau – „Pažeidimas“) registravimui Bendrovėje bei pranešimų apie įvykusius Pažeidimus pateikimui.
1.2. Tvarka parengta vadovaujantis Reglamento, ADTAĮ ir kitų teisės aktų, reguliuojančių asmens duomenų apsaugą ir tvarkymą, nuostatomis.
1.3. Tvarka yra taikoma ir yra privaloma Bendrovei bei visiems joje dirbantiems asmenims.
1.4. Tvarkoje vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Taisyklėse, taip pat Reglamente, ADTAĮ ir kituose teisės aktuose.
1.5. Pasikeitus šios Tvarkos nuostatoms, apie pakeitimus Bendrovės darbuotojai informuojami elektroniniu paštu arba kitomis priemonėmis.
1.6. Pažeidimų registravimą atlieka ir pranešimo apie įvykusį pažeidimą pateikimą užtikrina už asmens duomenų apsaugą atsakingas Bendrovės darbuotojas arba, jei jo nėra, Bendrovės vadovas (toliau – „Registruotojas“). Kitas asmuo šias funkcijas atlikti gali tik Bendrovės vadovo pavedimu.
2. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO TVARKA
2.1. Pažeidimu yra laikomas pažeidimas dėl kurio:
2.1.1. netyčia arba neteisėtai sunaikinami, prarandami ar pakeičiami Bendrovės tvarkomi asmens duomenys;
2.1.2. be leidimo atskleidžiami persiųsti, saugomi arba kitaip Bendrovės tvarkomi asmens duomenys;
2.1.3. be leidimo gaunama prieiga prie asmens duomenų.
2.2. Darbuotojas, turėdamas pagrįstą įtarimą, jog įvyko/ar galėjo įvykti Pažeidimas, kaip įmanoma greičiau, bet ne vėliau nei per 6 valandas nuo sužinojimo, apie tai informuoja Registruotoją.
2.3. Registruotojas, kaip įmanoma greičiau, bet ne vėliau nei per 24 valandas, nuo 2.2 punkte nurodytos informacijos gavimo, atlieka pirminį įvykusio Pažeidimo vertinimą. Atsižvelgdamas į pažeidimo rimtumą ir galimą poveikį asmens duomenų subjekto teisėms, Registruotojas imasi vieno arba kelių iš žemiau nurodytų veiksmų:
2.3.1. suformuoja Pažeidimo tyrimo bei padarinių šalinimo komandą, jeigu Registruotojo vertinimu tai yra būtina. Į Pažeidimo tyrimo bei padarinių šalinimo komandą visais atvejais įtraukiami Bendrovės vadovas, už IT atsakingas asmuo, už personalą atsakingas asmuo ir teisininkas;
2.3.2. imasi visų reikiamų priemonių ir veiksmų siekiant pašalinti Pažeidimo padarinius ir sumažinti padarytą / galinčią atsirasti žalą;
2.3.3. egzistuojant teisiniam pagrindui, kreipiasi į atsakingas valstybės institucijas, dėl galimai įvykusios neteisėtos veiklos ir/ar nusikalstamos veikos;
2.3.4. 3.1 punkte nurodytomis sąlygomis ir aplinkybėmis teikia pranešimą apie įvykusį Pažeidimą (toliau – „Pranešimas“) atitinkamai priežiūros institucijai;
2.3.5. imasi prevencinių priemonių tokiems patiems ar panašiems Pažeidimams ateityje išvengti.
2.4. Pažeidimus Registruotojas fiksuoja „Asmens duomenų saugumo pažeidimų registre“ (Priedas prie Tvarkos Nr. A).
3. PRANEŠIMO APIE PAŽEIDIMUS TVARKA
3.1. Pažeidimo atveju Registruotojas Bendrovės vardu kuo skubiau ir, bet nevėliau nei praėjus kaip 72 valandoms nuo tada, kai buvo sužinota apie Pažeidimą, privalo pateikti Pranešimą priežiūros institucijai – Valstybinei asmens duomenų inspekcijai. Pranešimas neteikiamas tuo atveju, kai Bendrovės pagrįstu, teisėtu ir logišku vertinimu įvykęs Pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. Pranešimo nepateikus per 72 valandas prie Pranešimo privalo būti pridedamos vėlavimo priežastys.
3.2. Pranešime turi būti nurodyta žemiau pateikta informacija:
3.2.1. aprašytas Pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;
3.2.2. Registruotojo ar kito asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
3.2.3. aprašytos tikėtinos Pažeidimo pasekmės;
3.2.4. aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis Bendrovė, kad būtų pašalintas Pažeidimas, įskaitant, kai reikalinga, priemones galimoms neigiamoms jo pasekmėms sumažinti.
3.3. Jeigu 3.2. punkte nurodytos informacijos Registruotojui, veikiančiam Bendrovės vardu, yra neįmanoma priežiūros institucijai pateikti visos iš karto, informacija nepagrįstai nedelsiant gali būti teikiama etapais.
3.4. Registruotojas, veikiantis Bendrovės vardu, taip pat privalo kaip įmanoma greičiau, bet ne vėliau kaip per 72 valandoms nuo tada, kai buvo sužinota apie Pažeidimą, informuoti asmens duomenų subjektą apie Pažeidimą (toliau – „Pranešimas duomenų subjektas“), kai dėl Bendrovėje įvykusio Pažeidimo gali kilti didelis pavojus duomenų subjektų kaip fizinių asmenų teisėms ir laisvėms.
3.5. Pranešime duomenų subjektui aiškiai ir paprastai turi būti pateikiama informacija apie įvykusį Pažeidimą ir įvardintos žemiau nurodytos aplinkybės:
3.5.1. Registruotojo ar kito asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
3.5.2. aprašytos tikėtinos Pažeidimo pasekmės;
3.5.3. aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis Bendrovė, kad būtų pašalintas Pažeidimas, įskaitant, kai reikalinga, priemones galimoms neigiamoms jo pasekmėms sumažinti.
3.6. Registruotojas, veikiantis Bendrovės vardu, Pranešimo duomenų subjektui teikti neprivalo, kai:
3.6.1. Bendrovė įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems Pažeidimas turėjo poveikio. Tai turi būti tokios priemonės, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones;
3.6.2. Bendrovė po Pažeidimo įvykimo ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti 3.5 punkte nurodytas didelis pavojus duomenų subjektų teisėms ir laisvėms;
3.6.3. Pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj Pranešimo duomenų subjektui apie įvykusį Pažeidimą yra paskelbiama viešai arba taikoma panaši priemonė/būdas, kuria/kuriuo duomenų subjektai būtų informuojami taip pat efektyviai.
3.7. Sprendimą dėl veiksmų pagal 3.6 punktą priima Pažeidimo tyrimo bei padarinių šalinimo komanda.
3.8. Tuo atveju, kai Bendrovė veikia, kaip savo partnerių, iš kurių ji gauna asmens duomenis, duomenų tvarkytoja, apie Pažeidimą Bendrovė pirmiausia praneša dėl kurio nurodymu tvarkomų asmens duomenų Pažeidimas kilo. Tokiu atveju Bendrovė vadovaujasi šiomis nuostatomis:
3.8.1. Atliekant pranešimą vadovaujamasi sutarties su konkrečiu partneriu nuostatomis ir jo, kaip duomenų valdytojo, nurodymais;
3.8.2. Apie pažeidimą pranešama ne vėliau nei per 48 valandas nuo sužinojimo, išskyrus atvejus, kai sutartys su partneriais numato trumpesnius pranešimo apie Pažeidimą terminus;
3.8.3. Pranešime partneriui nurodomos šios tvarkos 3.2 punkte bei sutartyje su partneriu numatyta informacija;
3.8.4. Spręsdama dėl tolimesnių veiksmų, susijusių su Pažeidimu. Bendrovė juos visais atvejais iš anksto suderina su partneriu.
Priedas Nr. A
PRIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ REGISTRAVIMO IR PRANEŠIMO APIE ĮVYKUSĮ ASMENS DUOMENŲ APSAUGOS PAŽEIDIMĄ PATEIKIMO TVARKOS
Asmens duomenų saugumo pažeidimų registras
Nr. | Pažeidimo užfiksavimo data | Saugumo pažeidimo pobūdis | Duomenų subjektų, kuriems pažeidimas gali turėti įtakos, kategorijos (skaičius) | Duomenų įrašų kategorijos nukentėjusios dėl įvykusio pažeidimo (skaičius) | Pažeidimo sukeltos /numatomos pasekmės | Veiksmai, kurių imtasi pažeidimui ištaisyti | Darbuotojas, pranešęs apie realų / įvykusį pažeidimą | Įrašą atlikęs asmuo (Registruotojas/ įgaliotinis/ Bendrovės vadovas) |
1. | ||||||||
2. | ||||||||
3. | ||||||||
4. | ||||||||
5. |
DUOMENŲ SUBJEKTŲ PRAŠYMŲ, SIEKIANT PASINAUDOTI REGLAMENTE ĮTVIRTINTOMIS TEISĖMIS, NAGRINĖJIMO IR ĮGYVENDINIMO TVARKA
1. BENDROSIOS NUOSTATOS
1.1. UAB „FREUGHT LT“, (duomenys kaupiami LR juridinių asmenų registre, juridinio asmens kodas – 304829955, buveinės adresas – Vito Gerulaičio g. 10, LT-08200 Vilnius, Lietuva, el. pašto adresas – admin@freught.com) (toliau – „Bendrovė“) Duomenų subjektų prašymų, siekiant pasinaudoti Reglamente įtvirtintomis teisėmis, nagrinėjimo ir įgyvendinimo tvarka (toliau – „Tvarka“) nustato reikalavimus atsižvelgiant į galiojančių teisės aktų reikalavimus išnagrinėti gautus duomenų subjektų prašymus ir sudaryti tinkamas sąlygas duomenų subjektų teisių įgyvendinimui.
1.2. Tvarka parengta vadovaujantis Reglamento, ADTAĮ ir kitų teisės aktų, reguliuojančių asmens duomenų apsaugą ir tvarkymą, nuostatomis.
1.3. Tvarka yra taikoma ir yra privaloma Bendrovei bei visiems joje dirbantiems asmenims.
1.4. Tvarkoje vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Bendrovės asmens duomenų tvarkymo taisyklėse, taip pat Reglamente, ADTAĮ ir kituose teisės aktuose.
1.5. Pasikeitus šios Tvarkos nuostatoms, apie pakeitimus Bendrovės darbuotojai informuojami elektroniniu paštu arba kitomis priemonėmis.
1.6. Už duomenų subjektų prašymų, siekiant pasinaudoti Reglamente įtvirtintomis teisėmis, nagrinėjimą ir jų teisių įgyvendinimą, atsako už asmens duomenų apsaugą atsakingas Bendrovės darbuotojas (toliau – „Atsakingas asmuo“). Jeigu Atsakingas asmuo nėra paskiriamas už minėtų procesų įgyvendinimą Bendrovėje atsako Bendrovės vadovas.
2. DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
2.1. Duomenų subjektas, kurio duomenys tvarkomi Bendrovės veikloje, turi šias teises:
2.1.1. teisę žinoti (būti informuotas) apie savo duomenų tvarkymą:
2.1.1.1. kai iš duomenų subjekto renkami jo asmens duomenys, Bendrovė asmens duomenų gavimo metu duomenų subjektui pateikia šią privalomą informaciją apie jo asmens duomenų tvarkymą:
2.1.1.1.1. Bendrovės kontaktinius duomenis;
2.1.1.1.2. duomenų tvarkymo tikslus;
2.1.1.1.3. duomenų tvarkymo teisinį pagrindą;
2.1.1.1.4. asmens duomenų gavėjus ar jų kategorijas (jei tokių yra);
2.1.1.1.5. įvardintą ketinimą perduoti duomenis į trečiąją valstybę ir tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti duomenų kopiją arba kur suteikiama galimybė su jais susipažinti (jei planuojamas duomenų perdavimas į trečiąsias valstybes);
2.1.1.1.6. asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
2.1.1.1.7. duomenų subjekto teisę prašyti, kad Bendrovė leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
2.1.1.1.8. kai duomenų subjektas davė sutikimą tvarkyti jo asmens duomenis, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
2.1.1.1.9. teisę pateikti skundą priežiūros institucijai;
2.1.1.1.10. nurodyti, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;
2.1.1.1.11. tai, kad Duomenų subjekto atžvilgiu yra vykdomas automatizuotas sprendimų priėmimas, įskaitant profiliavimą, ir reikšmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui.
2.1.1.2. pareiga Bendrovei pateikti informaciją renkant asmens duomenis iš paties duomenų subjekto netaikoma, jeigu Bendrovė jau turi informaciją, ir tiek, kiek tos informacijos ji turi;
2.1.1.3. kai asmens duomenys yra gauti ne iš duomenų subjekto, Bendrovė duomenų subjektui pagal teisės aktus privalomą informaciją pateikia:
2.1.1.3.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per 1 mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
2.1.1.3.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
2.1.1.3.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
2.1.1.4. kai asmens duomenys yra gauti ne iš duomenų subjekto, iš Reglamento kylanti Bendrovės pareiga duomenų subjektui pateikti informaciją netaikoma tiek, kiek:
2.1.1.4.1. duomenų subjektas jau turi informacijos;
2.1.1.4.2. tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų ir/ar kaštų arba jeigu dėl šios pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais Bendrovė turi imtis tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
2.1.1.4.3. duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos arba Lietuvos Respublikos teisėje, ir kurie Bendrovei ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba
2.1.1.4.4. kai asmens duomenys privalo išlikti konfidencialūs laikantis Europos Sąjungos ar Lietuvos Respublikos teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.
2.1.1.5. jeigu Bendrovė ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami arba gauti, prieš taip toliau tvarkydama duomenis Bendrovė pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją.
2.1.2. teisę susipažinti su savo asmens duomenų tvarkymu:
2.1.2.1. duomenų subjektas turi teisę iš Bendrovės gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su tvarkomais asmens duomenimis ir kita susijusia informacija (asmens duomenų tvarkymo tikslais, tvarkomų asmens duomenų kategorijomis, duomenų gavėjais (arba kategorijomis), asmens duomenų saugojimo laikotarpiu, turimomis jo, kaip duomenų subjekto teisėmis, duomenų šaltiniais (kai asmens duomenys renkami ne iš duomenų subjekto), duomenų tvarkymo būdais, jų reikšme ir numatomomis pasekmėmis (pvz., kai vykdomas automatizuotas sprendimų priėmimas);
2.1.2.2. duomenų subjektui paprašius, Bendrovė pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas Bendrovė gali imti pagrįstą mokestį, nustatomą kiekvienu konkrečiu atveju pagal Bendrovei tenkančias administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija pateikiama įprastai naudojama elektronine forma, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
2.1.3. teisę reikalauti ištaisyti duomenis:
2.1.3.1. duomenų subjektas turi teisę reikalauti, kad Bendrovė nepagrįstai nedelsdama ištaisytų netikslius su juo susijusius asmens duomenis;
2.1.3.2. atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas taip pat turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, pateikdamas papildomą pareiškimą.
2.1.4. teisę reikalauti ištrinti duomenis (teisė „būti pamirštam“):
2.1.4.1. duomenų subjektas turi teisę reikalauti, kad Bendrovė nedelsdama ištrintų su juo susijusius asmens duomenis, kai yra viena iš toliau išvardintų priežasčių:
2.1.4.1.1. asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
2.1.4.1.2. duomenų subjektas atšaukia sutikimą, kuriuo grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
2.1.4.1.3. duomenų subjektas nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu tiesioginės rinkodaros tikslais;
2.1.4.1.4. asmens duomenys buvo tvarkomi neteisėtai;
2.1.4.1.5. asmens duomenys turi būti ištrinti laikantis Europos Sąjungoje arba Lietuvos Respublikos teisėje nustatytos teisinės prievolės;
2.1.4.2. Bendrovė gali atsisakyti įgyvendinti duomenų subjekto teisę būti pamirštam tik esant teisės aktuose numatytiems pagrindams.
2.1.5. teisę apriboti duomenų tvarkymą:
2.1.5.1. duomenų subjektas turi teisę Bendrovės prašyti apriboti jo asmens duomenų tvarkymą kai:
2.1.5.1.1. asmens duomenų subjektas ginčija duomenų tikslumą tokiam laikotarpiui, per kurį Bendrovė gali patikrinti asmens duomenų tikslumą;
2.1.5.1.2. asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
2.1.5.1.3. Bendrovei nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
2.1.5.1.4. duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar Bendrovės teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
2.1.6. teisę į duomenų perkeliamumą:
2.1.6.1. duomenų subjektas turi teisę gauti iš Bendrovės su juo susijusius asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu;
2.1.6.2. šią teisę duomenų subjektas gali įgyvendinti tais atvejais, kai asmens duomenų tvarkymas yra grindžiamas duomenų subjekto sutikimu arba su duomenų subjekto sudaryta sutartimi, be to, kai asmens duomenys yra tvarkomi automatizuotomis priemonėmis;
2.1.6.3. teisė į duomenų perkeliamumą nėra taikoma tais atvejais, kai asmens duomenų tvarkymas yra grindžiamas kitais pagrindais nei sutikimas ar sutartis, be to, kai asmens duomenys yra tvarkomi susistemintose rinkmenose;
2.1.6.4. naudodamasis savo teise į duomenų perkeliamumą, duomenų subjektas turi teisę prašyti, kad Bendrovė asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma.
2.1.7. teisę nesutikti su asmens duomenų tvarkymu:
2.1.7.1. duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas Bendrovės yra vykdomas siekiant atliktį užduotį viešojo intereso labui, taip pat siekiant teisėtų Bendrovės arba trečiosios šalies interesų, įskaitant minėtų tikslų vykdyme atliekamą duomenų subjekto duomenų profiliavimą;
2.1.7.2. kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara;
2.1.7.3. duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį, išskyrus Reglamente numatytas išimtis.
2.2. Bendrovė imasi tinkamų priemonių, kad pagal teisės aktus privalomą informaciją ir visus pranešimus dėl duomenų subjekto teisių įgyvendinimo duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.
2.3. Duomenų subjektas gali įgyvendinti savo teises tik tuomet, kai suteikia Bendrovei galimybę nustatyti jo tapatybę.
2.4. Duomenų subjekto tapatybė nustatoma paprašant duomenų subjekto pateikti tapatybę patvirtinantį dokumentą (pasą arba ID kortelę) ar jo kopiją, taip pat naudojant elektroninį parašą arba kitais teisėtais būdais (pvz., vaizdo pokalbio metu duomenų subjektas parodo savo ID kortelę).
2.5. Bendrovė nepagrįstai nedelsdama, tačiau bet kuriuo atveju ne vėliau kaip per 1 mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus duomenų subjekto prašymą dėl jo teisių įgyvendinimo. Minėtas laikotarpis prireikus gali būti pratęstas dar 2 mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Bendrovė per 1 mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
2.6. Jei Bendrovė nepagrįstai nedelsdama nesiima veiksmų pagal duomenų subjekto prašymą, Bendrovė ne vėliau kaip per 1 mėnesį nuo duomenų subjekto prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai bei pasinaudoti teisių gynimo priemone.
2.7. Duomenų subjektams informacija, susijusi su Reglamente įtvirtintų jų teisių įgyvendinimu, yra teikiama nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, pavyzdžiui, dėl jų pasikartojančio turinio, Bendrovė gali arba:
2.7.1. imti pagrįstą mokestį, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba
2.7.2. gali atsisakyti imtis veiksmų pagal duomenų subjekto prašymą.
2.8. Bendrovė gavusi duomenų subjekto prašymą dėl 2.1 – 2.7 punktuose nurodytų duomenų subjekto teisių įgyvendinimo perduoda gautą prašymą nagrinėti Atsakingam asmeniui. Atsakingas asmuo, atsižvelgdamas į aplinkybes ir sprendimą dėl atitinkamos teisės(-ių) įgyvendinimo pagal gautą duomenų subjekto prašymą, pildo Duomenų subjektų prašymų ir atsakymų registrą (Priedas Nr. A).
2.9. Tuo atveju, kai Bendrovė veikia, kaip savo partnerių, iš kurių ji gauna asmens duomenis, duomenų tvarkytoja, sprendžiant dėl asmens duomenų subjektų teisių įgyvendinimo be šios Tvarkos 2.1 – 2.8 punktuose nurodytų nuostatų, vadovaujasi ir minėtų partnerių (duomenų valdytojų) nurodymais dėl asmens duomenų tvarkymo bei sutarčių su partneriais reikalavimais. Bet kokiu atveju, spręsdama dėl asmens duomenų subjektų teisių įgyvendinimo, savo veiksmus (pvz., informacijos patekimą, ištrynimą ir pan.) Bendrovė suderina su partneriu, kurio nurodymu atitinkami asmens duomenys yra tvarkomi.
Priedas Nr. A
PRIE DUOMENŲ SUBJEKTŲ PRAŠYMŲ, SIEKIANT PASINAUDOTI REGLAMENTE ĮTVIRTINTOMIS TEISĖMIS, NAGRINĖJIMO IR ĮGYVENDINIMO TVARKOS
Duomenų subjektų prašymų ir atsakymų registras
Nr. | Prašymo gavimo data | Duomenų subjektas, pateikęs prašymą | Priimtas sprendimas dėl prašymo (tenkinamas/ netenkinamas) |
Priežastys (prašymo nepatenkinus) | Atsakymo pateikimo data | Atsakymo numeris | Atsakymą paruošęs asmuo (vardas, pavardė, pareigos) | Įrašą atlikęs asmuo (vardas, pavardė, pareigos) |
Komentarai |
1. | |||||||||
2. | |||||||||
3. | |||||||||
4. | |||||||||
5. |