Privatumo politika

UŽDAROSIOS AKCINĖS BENDROVĖS „PARADIS“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

  1. Šios asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja UAB „Paradis“ (toliau – Įmonė arba Duomenų valdytojas) vykdomą asmens duomenų tvarkymą, nustato Įmonės darbuotojų pareigas tvarkant asmens duomenis, duomenų subjektų teises, asmens duomenų apsaugos įgyvendinimo priemones ir kitus su asmens duomenų tvarkymu susijusius klausimus. Šios Taisyklės yra privalomos visiems Įmonės darbuotojams.
  2. Įmonė užtikrina, kad asmens duomenys būtų tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais taikomais nacionaliniais bei Europos Sąjungos teisės aktais.
  3. Pagrindinės Taisyklėse vartojamos sąvokos:
  • Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas) tiesiogiai arba netiesiogiai (pvz., vardas, pavardė, asmens kodas, adresas, el. pašto adresas, telefono numeris, buvimo vietos duomenys, interneto identifikatorius ir kt.).
  • Duomenų subjektas – fizinis asmuo (klientas, tiekėjas, partneris, svetainės lankytojas, kandidatas į darbo vietą, darbuotojas), kurio asmens duomenis tvarko Įmonė.
  • Duomenų tvarkymas – bet kokia su asmens duomenimis ar jų rinkiniais atliekama operacija, pavyzdžiui: rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, prieigos suteikimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat naikinimas.
  • Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Duomenų valdytojo vardu tvarko asmens duomenis.
  • Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nepriklausomai nuo to, ar tai trečioji šalis, ar ne.
  • Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
  • Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

II SKYRIUS

PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI

  1. Įmonė ir jos darbuotojai, tvarkydami asmens duomenis, griežtai laikosi šių BDAR įtvirtintų principų:
  • Teisėtumo, sąžiningumo ir skaidrumo: Asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu. Duomenų subjektui visada pateikiama aiški informacija apie tai, kokie jo duomenys, kokiu tikslu ir kokiu teisiniu pagrindu yra tvarkomi.
  • Tikslo apribojimo: Asmens duomenys renkami tik iš anksto nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir nėra tvarkomi su tais tikslais nesuderinamu būdu. Darbuotojams draudžiama naudoti asmens duomenis asmeniniais ar kitais su darbo funkcijomis nesusijusiais tikslais.
  • Duomenų kiekio mažinimo: Renkami ir tvarkomi tik tokie asmens duomenys, kurie yra adekvatūs, tinkami ir būtini siekiant nustatytų tikslų. Vengiama perteklinės informacijos rinkimo.
  • Tikslumo: Dedamos visos protingos pastangos užtikrinti, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami. Netikslūs duomenys, atsižvelgiant į jų tvarkymo tikslus, yra nedelsiant ištaisomi arba ištrinami.
  • Saugojimo trukmės apribojimo: Asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tikslams, kuriais duomenys buvo surinkti. Pasibaigus saugojimo terminui, duomenys yra saugiai sunaikinami arba nuasmeninami.
  • Vientisumo ir konfidencialumo: Asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas jų saugumas ir konfidencialumas, įskaitant apsaugą nuo neteisėto ar neleistino tvarkymo, netyčinio praradimo, sunaikinimo ar sugadinimo.
  • Atskaitomybės: Įmonė yra atsakinga už tai, kad būtų laikomasi aukščiau nurodytų principų, ir turi gebėti tai įrodyti. Įmonė veda duomenų tvarkymo veiklos įrašus ir reguliariai peržiūri savo duomenų tvarkymo praktikas.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO TIKSLAI, TEISINIAI PAGRINDAI IR SAUGOJIMO TERMINAI

  1. Įmonė tvarko asmens duomenis šiais tikslais, remdamasi nurodytais teisiniais pagrindais ir laikydamasi nustatytų saugojimo terminų:
    5.1. Sutarčių su klientais, partneriais ir tiekėjais sudarymas, vykdymas ir administravimas:
    * Tvarkomi duomenys: Vardas, pavardė, asmens kodas (jei reikalauja teisės aktai), darbovietė, pareigos, kontaktiniai duomenys (adresas, el. pašto adresas, telefono numeris), banko sąskaitos duomenys, atsiskaitymo informacija, parašas, sutarties sąlygos ir kiti duomenys, būtini sutartiniams įsipareigojimams vykdyti.
    * Teisinis pagrindas: Sutarties sudarymas ir vykdymas (BDAR 6 str. 1 d. b p.); teisinių prievolių vykdymas (BDAR 6 str. 1 d. c p.).
    * Saugojimo terminas: 10 metų po sutarties pabaigos, vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle.
    5.2. Tiesioginė rinkodara (pasiūlymų, naujienlaiškių teikimas):
    * Tvarkomi duomenys: Vardas, pavardė, el. pašto adresas, telefono numeris, įmonės pavadinimas.
    * Teisinis pagrindas: Duomenų subjekto aiškus sutikimas (BDAR 6 str. 1 d. a p.).
    * Saugojimo terminas: 5 metai nuo sutikimo davimo dienos arba iki tol, kol duomenų subjektas atšauks savo sutikimą.
    5.3. Užklausų, prašymų ir skundų administravimas:
    * Tvarkomi duomenys: Vardas, pavardė, kontaktiniai duomenys, užklausos turinys, data, laikas ir susirašinėjimo istorija.
    * Teisinis pagrindas: Įmonės teisėtas interesas teikti kokybišką aptarnavimą, atsakyti į paklausimus ir ginti savo teises (BDAR 6 str. 1 d. f p.).
    * Saugojimo terminas: 1 metai nuo galutinio atsakymo į užklausą pateikimo dienos, išskyrus atvejus, kai komunikacijos turinys yra susijęs su galimais teisiniais ginčais – tokiu atveju saugoma iki ieškinio senaties termino pabaigos.
    5.4. Kandidatų į darbuotojus atranka:
    * Tvarkomi duomenys: Duomenys, pateikti kandidato gyvenimo aprašyme (CV), motyvaciniame laiške ir kituose atrankos dokumentuose (pvz., informacija apie išsilavinimą, darbo patirtį, kvalifikaciją, rekomendacijas).
    * Teisinis pagrindas: Duomenų subjekto sutikimas, išreikštas teikiant savo kandidatūrą (BDAR 6 str. 1 d. a p.).
    * Saugojimo terminas: Visą atrankos laikotarpį. Pasibaigus atrankai, duomenys nedelsiant sunaikinami, nebent gaunamas atskiras kandidato sutikimas saugoti duomenis būsimoms atrankoms (ne ilgiau kaip 1 metus).
    5.5. Buhalterinės apskaitos tvarkymas ir teisinių prievolių vykdymas:
    * Tvarkomi duomenys: Duomenys, reikalingi sąskaitoms-faktūroms ir kitiems apskaitos dokumentams išrašyti bei tvarkyti pagal teisės aktų reikalavimus (pvz., PVM mokėtojo kodas, individualios veiklos pažymėjimo numeris ir kt.).
    * Teisinis pagrindas: Teisinių prievolių vykdymas (BDAR 6 str. 1 d. c p.).
    * Saugojimo terminas: Nustatytas Lietuvos Respublikos buhalterinės apskaitos įstatyme ir kituose teisės aktuose (paprastai 10 metų).

IV SKYRIUS

ASMENS DUOMENŲ GAVĖJAI IR TVARKYTOJAI

  1. Įmonė gali teikti asmens duomenis tretiesiems asmenims tik esant teisėtam pagrindui ir užtikrinant duomenų konfidencialumą. Duomenų gavėjų kategorijos:
  • Duomenų tvarkytojai: IT infrastruktūros (serverių, debesijos), programinės įrangos, buhalterinės apskaitos, rinkodaros, teisines paslaugas teikiančios įmonės, kurjerių tarnybos. Įmonė pasitelkia tik tuos duomenų tvarkytojus, kurie garantuoja BDAR reikalavimų atitiktį. Su visais duomenų tvarkytojais sudaromos rašytinės duomenų tvarkymo sutartys.
  • Valstybės institucijos: teismai, teisėsaugos institucijos, Valstybinė mokesčių inspekcija ir kitos institucijos, kurioms duomenis teikti Įmonę įpareigoja teisės aktai.
  • Kiti asmenys: Finansų įstaigos, skolų išieškojimo bendrovės, auditoriai, teisininkai, kai tai būtina Įmonės teisėtiems interesams užtikrinti.
  1. Asmens duomenys nėra perduodami į trečiąsias valstybes (už Europos Sąjungos / Europos Ekonominės Erdvės ribų), nebent būtų užtikrintas tinkamas duomenų apsaugos lygis, numatytas BDAR.

V SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

  1. Duomenų subjektas, kurio duomenis tvarko Įmonė, turi šias teises:
  • Teisė būti informuotam apie savo asmens duomenų tvarkymą.
  • Teisė susipažinti su savo tvarkomais asmens duomenimis ir gauti jų kopiją.
  • Teisė reikalauti ištaisyti netikslius ar neišsamius duomenis.
  • Teisė reikalauti ištrinti savo duomenis („teisė būti pamirštam“), kai duomenys nebėra reikalingi tikslams, kuriais buvo surinkti, atšaukiamas sutikimas arba duomenys tvarkomi neteisėtai.
  • Teisė apriboti duomenų tvarkymą tam tikromis aplinkybėmis (pvz., kol tikrinamas duomenų tikslumas).
  • Teisė nesutikti su duomenų tvarkymu, kai jis vykdomas tiesioginės rinkodaros tikslais arba remiantis Įmonės teisėtu interesu.
  • Teisė į duomenų perkeliamumą (gauti savo duomenis kompiuterio skaitomu formatu).
  • Teisė bet kada atšaukti duotą sutikimą, nedarant poveikio iki atšaukimo vykdyto tvarkymo teisėtumui.
  • Teisė pateikti skundą Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, www.ada.lt).
  1. Teisių įgyvendinimo tvarka:
  • Norėdamas įgyvendinti savo teises, duomenų subjektas turi pateikti Įmonei rašytinį prašymą el. paštu [Jūsų įmonės el. pašto adresas] arba registruotu paštu adresu [Jūsų įmonės adresas].
  • Kartu su prašymu būtina pateikti asmens tapatybę patvirtinančio dokumento kopiją arba kitaip patikimai identifikuoti save, kad būtų išvengta duomenų atskleidimo neįgaliotiems asmenims.
  • Informacija pagal prašymą teikiama neatlygintinai. Tačiau, jei prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, Įmonė gali imti pagrįstą mokestį arba atsisakyti vykdyti prašymą.
  • Įmonė į prašymą atsako ne vėliau kaip per vieną mėnesį nuo jo gavimo dienos. Prireikus šis terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir skaičių, apie ką duomenų subjektas bus informuotas per pirmąjį mėnesį.

VI SKYRIUS

TECHNINĖS IR ORGANIZACINĖS DUOMENŲ SAUGUMO PRIEMONĖS

  1. Įmonė įgyvendina tinkamas ir riziką atitinkančias technines bei organizacines priemones, siekdama apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo:
  • Organizacinės priemonės:
  • Prieigos kontrolė: Prieiga prie asmens duomenų suteikiama tik tiems darbuotojams, kuriems ji būtina darbo funkcijoms atlikti, laikantis „būtina žinoti“ principo. Prieigos teisės yra reguliariai peržiūrimos.
  • Darbuotojų įsipareigojimai ir mokymai: Visi darbuotojai, tvarkantys asmens duomenis, yra pasirašę konfidencialumo įsipareigojimus ir yra reguliariai supažindinami su asmens duomenų apsaugos reikalavimais bei geriausiomis praktikomis.
  • „Švaraus stalo“ politika: Darbuotojai įpareigoti nepalikti dokumentų su asmens duomenimis neapsaugotose vietose.
  • Techninės priemonės:
  • IT saugumas: Naudojamos ugniasienės, antivirusinės programos, saugūs slaptažodžiai, kurie yra periodiškai keičiami ir atitinka sudėtingumo reikalavimus. Taikomas daugiapakopis autentiškumo patvirtinimas, kur tai įmanoma.
  • Duomenų šifravimas: Jautrūs duomenys, perduodami išoriniais tinklais, yra šifruojami. Nešiojamųjų kompiuterių standieji diskai yra šifruojami.
  • Fizinis saugumas: Dokumentai ir įrenginiai, kuriuose saugomi asmens duomenys, laikomi rakinamose patalpose ar spintose. Serverių patalpos yra apsaugotos.
  • Atsarginės kopijos: Reguliariai daromos atsarginės duomenų kopijos, kurios saugomos saugioje vietoje.

VII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMAS

  1. Įvykus asmens duomenų saugumo pažeidimui, Įmonė imasi neatidėliotinų veiksmų siekiant jį sustabdyti ir sumažinti galimas neigiamas pasekmes.
  2. Kiekvienas darbuotojas, pastebėjęs galimą asmens duomenų saugumo pažeidimą, privalo nedelsiant apie tai informuoti savo tiesioginį vadovą ir atsakingą asmenį.
  3. Įmonė, nustačiusi pažeidimą, kuris gali kelti pavojų fizinių asmenų teisėms ir laisvėms, nepagrįstai nedelsdama, bet ne vėliau kaip per 72 valandas, apie pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai.
  4. Jei dėl pažeidimo gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, Įmonė apie tai nepagrįstai nedelsdama informuoja ir pačius duomenų subjektus.
  5. Visi asmens duomenų saugumo pažeidimai yra registruojami vidiniame pažeidimų registre.

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

  1. Šios Taisyklės yra peržiūrimos ne rečiau kaip kartą per 2 metus ir atnaujinamos pasikeitus teisės aktams, Įmonės veiklos procesams ar technologijoms.
  2. Su šiomis Taisyklėmis ir jų pakeitimais darbuotojai supažindinami pasirašytinai arba elektroninėmis priemonėmis.
  3. Už šių Taisyklių nuostatų pažeidimą darbuotojai atsako teisės aktų nustatyta tvarka.

Visais su asmens duomenų tvarkymu susijusiais klausimais prašome kreiptis el. paštu paradis@paradis.lt arba telefonu +370 626 09000.