Asmens duomenų tvarkymo politika

1. TIKSLAS:

UAB “Home Group” (toliau – Bendrovė) gerbia visų subjektų teisę į privatumą ir įsipareigoja užtikrinti jų Asmens duomenų apsaugą bei jų, kaip Duomenų subjektų, teisių užtikrinimą. Šios politikos tikslas – reglamentuoti Asmens duomenų apsaugą užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), kitų Lietuvos Respublikos įstatymų bei teisės aktų (toliau – teisės aktai), reglamentuojančių asmens duomenų tvarkymą ir apsaugą, nuostatų laikymąsi ir įgyvendinimą.

2. TAIKYMO SRITIS:

Ši politika taikoma visiems Home group ir Home group Lithuania darbuotojams.

3. TERMINAI IR APIBRĖŽIMAI:

Politikoje vartojamos sąvokos:
ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.
Atsakingas darbuotojas – Duomenų valdytojo Darbuotojas, kuris pagal užimamas pareigas ir darbo pobūdį turi teisę vykdyti konkrečias su Duomenų tvarkymu susijusias funkcijas.
Atstovas – asmuo atstovaujantis Klientus, Duomenų valdytojo Paslaugų teikėjus, Tiekėjus, tiek fizinius, tiek juridinius asmenis.
BDAR – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).
Besikreipiantis asmuo – fizinis asmuo ar Atstovas besidomintis Duomenų valdytojo gaminama produkcija ir / ar paslaugomis ar norintis susisiekti su Duomenų valdytoju kitais klausimais.
Darbuotojas – asmuo, kuris su Duomenų valdytoju yra sudaręs darbo arba panašaus pobūdžio sutartį.
Duomenys/Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami Asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
Duomenų subjektas – Atstovas, Besikreipiantis asmuo, Klientas, Kandidatas, Paslaugų teikėjas, Tiekėjas, Skambinantieji telefonu arba bet koks kitas fizinis asmuo, kurio asmens duomenis tvarko Duomenų valdytojas.
Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai gavimas, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, redagavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Duomenų valdytojo vardu ar naudai tvarko Asmens duomenis.
Duomenų valdytojas – UAB “Home Group”, į. k. 302442746, buveinės adresas – Šilutės pl. 95, Klaipėda, LT-95112, Lietuvos Respublika.
Kandidatas – asmuo, dalyvaujantis ar ketinantis dalyvauti Duomenų valdytojo vykdomoje personalo atrankoje.
Klientas – fizinis asmuo ar Atstovas, užsakantis gaminamą produkciją ir / ar paslaugas iš Duomenų valdytojo arba sudaręs sutartį su Duomenų valdytoju dėl gaminamos produkcijos ir / ar paslaugų atlikimo.
Kompiuterinė įranga – kompiuteriai, terminalai, serveriai, laikmenos, kita Duomenų valdytojui teisėtu pagrindu (nuosavybės teise, nuomos ar kitais pagrindais) priklausanti kompiuterinė įranga ir joje esanti programinė įranga, tame tarpe elektroninė pašto dėžutė, bendravimo interneto tinklu programos, debesų kompiuterijos paslaugos, interneto prieiga.
Paslaugų teikėjas – fizinis ar juridinis asmuo galintis pasiūlyti ar siūlantis prekes, paslaugas ar darbus Duomenų valdytojui ir su juo bendradarbiaujantis arba sudaręs sutartį su Duomenų valdytoju dėl prekių, paslaugų ar darbų pardavimo (pvz. subrangovas).
Politika reiškia šią Asmens duomenų tvarkymo politiką.
Priežiūros institucija – Valstybinė duomenų apsaugos inspekcija.
Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.
Skambinantysis telefonu – asmuo skambinantis viešai paskelbtu kontaktiniu telefonu dėl Duomenų valdytojo gaminamos produkcijos užsakymo ir / ar teikiamų paslaugų atlikimo ir / ar kitais klausimais.
Tiekėjas – Duomenų valdytojui prekes tiekiantis fizinis ar juridinis asmuo.
Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
Kitos Politikoje vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas.
Atsakomybė pagal galiojančius teisės aktus.

4. PROCESO APRAŠYMAS:
BENDROSIOS NUOSTATOS

1. Duomenų valdytojas užtikrina, kad jis atitinka šiuos esminius su asmens duomenų tvarkymu susijusius principus:
1.1. Asmens duomenys turi būti Duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
1.2. Asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);
1.3. Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
1.4. Asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
1.5. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, reikalingų siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
1.6. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
1.7. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi aukščiau nurodytų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi (atskaitomybės principas).
2. Duomenys tvarkomi tinkamai informavus Duomenų subjektus laikantis Politikoje ir BDAR numatytų reikalavimų.
3. Duomenys saugomi laikotarpius, nurodytus šioje Politikoje, kurie gali skirtis kiekvienam Asmens duomenų tipui. Saugojimas ir naikinimas atliekami pagal procedūras šioje Politikoje.
3. Siekdamas tinkamai įgyvendinti atskaitomybės principą, Duomenų valdytojas paskiria Darbuotoją, atsakingą už tinkamą Duomenų tvarkymo veiklos įrašų pildymą registruojant tvarkymo operacijas Duomenų valdytojo atsakomybe.
4. Prieiga prie Duomenų suteikiama tik Atsakingiems darbuotojams ir duomenų tvarkytojams.
5. Duomenų tvarkytojo prieigos teisės prie Duomenų naikinamos nutraukus asmens duomenų tvarkymo sutartį, sudarytą su Duomenų valdytoju, ar šiai sutarčiai nustojus galioti.
6. Atsakingi darbuotojai privalo:
6.1. Tvarkyti Asmens duomenis vadovaudamiesi Europos Sąjungos ir Lietuvos Respublikos teisės aktais, taip pat šia Politika ir jos priedais;
6.2. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su duomenimis asmenims, kurie nėra įgalioti tvarkyti Duomenų;
6.3. Nedelsiant pranešti Duomenų valdytojui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.
7. Atsakingas darbuotojas netenka teisės tvarkyti Asmens duomenis, kai pasibaigia Atsakingo darbuotojo darbo sutartis su Duomenų valdytoju, arba kai pasikeitus Darbuotojo užimamoms pareigoms Asmens duomenys tampa nebereikalingi darbo funkcijoms vykdyti.
8. Duomenys perduodami duomenų tvarkytojams ir duomenų gavėjams, kai teisę ir (ar) pareigą tai daryti atitinkamais pagrindais suteikia teisės aktai arba sutartis.
9. Asmens duomenys Duomenų valdytojo gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais.

DUOMENŲ TVARKYMO TIKSLAI IR APIMTIS

10. Asmens duomenų tvarkymo tikslus nustato Duomenų valdytojo vadovas. Duomenų valdytojo vadovas, prieš priimdamas sprendimą dėl naujo duomenų tvarkymo tikslo, konsultuojasi su duomenų apsaugos pareigūnu ar/ir su už duomenų apsaugą Atsakingu darbuotoju.
11. Siekiant mažinti Duomenų valdytojo tvarkomų duomenų apimtį, Atsakingas darbuotojas kartą per metus atlieka tvarkomų duomenų analizę, siekdamas išsiaiškinti, ar nėra tvarkomi duomenys, kurie nėra aprašyti šioje Politikoje, taip pat ar nėra duomenų, kurie tapo nebereikalingi arba kurių tvarkymui nebeliko teisinio pagrindo (pvz. sutikimo, įstatymo prievolės, teisėto intereso, sutarties).
12. Identifikavus perteklinius, nebenaudojamus duomenis, arba duomenis, kurių tvarkymui nebeliko teisinio pagrindo, Atsakingas darbuotojas apie juos nedelsdamas įprastomis įmonėje komunikavimo priemonėmis praneša Bendrovės vadovui.
13. Gavęs Atsakingo darbuotojo pranešimą apie perteklinius duomenis įmonės vadovas imasi atitinkamų priemonių pašalinti galimam duomenų tvarkymo neatitikimui Reglamento ir kitų teisės aktų nuostatoms, taip pat pakoreguoja įmonės tvarkomų duomenų veiklos įrašus.

ASMENS DUOMENŲ TVARKYMAS KONSULTACIJOS, UŽKLAUSOS VYKDYMO TIKSLAIS

14. Besikreipiančiųjų asmenų, įskaitant Skambinančiuosius telefonu, į Duomenų valdytoją konsultacijos, užklausos pateikimo ar/ir kitais klausimais tikslu asmens duomenų tvarkymas. Duomenų valdytojas tvarko tokius Besikreipiančiųjų, įskaitant Skambinančiuosius telefonu, asmens duomenis:
14.1. Vardas;
14.2. Pavardė;
14.3. Telefono numeris;
14.4. El. pašto adresas;
14.5. Pareigos;
14.6. Darbovietė.
15. Besikreipiančiųjų asmens duomenys gali būti perduodami “Home Group” įmonių grupei.
16. Asmens duomenų konsultacijos, atsiliepimo, užklausos pateikimo tikslais tvarkymo pagrindu yra: BDAR 6 straipsnio 1 dalies a ir b punktas (sutikimas, išreikštas pateikiant savo duomenis, siekis imtis veiksmų Duomenų subjekto prašymu prieš sudarant sutartį).

ASMENS DUOMENŲ TVARKYMAS GAMINAMOS PRODUKCIJOS IR / AR PASLAUGOS UŽSAKYMO ATLIKIMO TIKSLU

17. Klientų asmens duomenų tvarkymas. Duomenų valdytojas tvarko šiuos Klientų asmens duomenis:
17.1. Vardas;
17.2. Pavardė;
17.3. Gimimo data;
17.4. Asmens kodas;
17.5. Asmens tapatybės dokumentų duomenys;
17.6. Atstovaujamas asmuo (ryšys su atstovaujamu asmeniu);
17.7. Pareigos;
17.8. Darbovietė;
17.9. Telefono numeris;
17.10. El. pašto adresas;
17.11. Adresas;
17.12. Mokėjimo suma (elektroninės prekybos atveju – mokėjimo nurodymo duomenys, sąskaitos);
17.13. Kita informacija susijusi su gaminamos produkcijos ir / ar paslaugų atlikimu.
18. Duomenys gaunami tiesiogiai iš Klientų, vykdant sutartį su Klientu, ar/ir iš kitų trečiųjų asmenų, turinčių ryšių su Duomenų subjektu.
19. Duomenų valdytojas gali gauti Klientų asmens duomenis iš:
19.1. Viešų duomenų bazių ir informacinių sistemų (pvz., Rekvizitai.lt, Credit info ir kt.);
19.2. Bankų (pvz., mokėjimų informacija);
19.3. Valstybinių institucijų (VMI, SODRA ir kt.).
20. Duomenų valdytojas įsipareigoja neperduoti Klientų asmens duomenų jokioms nesusijusioms trečiosioms šalims, išskyrus šiuos atvejus:
20.1. Tam pačiam akcininkui priklausančioms Bendrovėms, kurios užsiima ta pačia ar panašia veikla (toliau – “Home Group” įmonių grupei);
20.2. Įgyvendinant savo, kaip baldų gamybos bendrovės, įsipareigojimus (pvz., duomenys gali būti perduodami pašto, archyvavimo, audito, teisines, finansines paslaugas teikiančioms įmonėms, Paslaugų teikėjams ir (arba) šalims, susijusioms su nacionalinėmis, Europos ir tarptautinėmis mokėjimo sistemomis, pvz., SWIFT);
20.3. Įgyvendinant Duomenų valdytojo teisėtus interesus (pvz., skolų išieškojimo atveju);
20.4. Įgaliotoms institucijoms, Lietuvos Respublikos teisės aktų numatyta tvarka (pvz. VMI).
21. Duomenų valdytojas gali pateikti Klientų ir kitų Duomenų subjektų asmens duomenis šioje Politikoje nenurodytiems Duomenų tvarkytojams, kurie teikia paslaugas (atlieka darbus) Duomenų valdytojui ir tvarko Klientų ir Duomenų subjektų asmens duomenis Duomenų valdytojo vardu (pvz. IT paslaugas teikiančioms įmonėms). Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Duomenų valdytojo nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai vykdyti sutartyje nustatytus įsipareigojimus. Pasitelkdamas duomenų tvarkytojus Duomenų valdytojas imasi visų reikiamų priemonių, siekdamas užtikrinti, kad Duomenų tvarkytojai būtų įgyvendinę tinkamas organizacines ir technines saugumą užtikrinančias priemones bei išlaikytų asmens duomenų paslaptį.
22. Asmens duomenų gaminamos produkcijos ir / ar paslaugų užsakymo ir atlikimo tikslais tvarkymo pagrindais yra: BDAR 6 straipsnio 1 dalies a punktas (sutikimas, išreikštas pateikiant savo duomenis) ir/ar b punktas (sutarties vykdymas), c punktas (Duomenų valdytojui taikomos teisinės prievolės vykdymas).

ASMENS DUOMENŲ TVARKYMAS SUTARČIŲ SU PASLAUGŲ TEIKĖJAIS, TIEKĖJAIS VYKDYMO TIKSLU

23. Duomenų valdytojas bendradarbiaudamas su Paslaugų teikėjais, Tiekėjais tvarko tokius fizinių asmenų ar Atstovų asmens duomenis:
23.1. Vardas;
23.2. Pavardė;
23.3. Asmens kodas;
23.4. Adresas;
23.5. Veiklą pagrindžiančio dokumento duomenys (individualios veiklos pažymos numeris, išdavimo data ir kt.);
23.6. Elektroninės prekybos atveju – mokėjimo nurodymo duomenys;
23.7. Įgaliojimas;
23.8. Įgaliojimo laikas;
23.9. Atstovaujamas asmuo (ryšys su atstovaujamu asmeniu);
23.10. Pareigos;
23.11. Darbovietė;
23.12. Telefono numeris;
23.13. El. pašto adresas;
23.14. Kita informacija, kuri buvo pateikta bendradarbiaujant ar vykdant sutartį.
24. Duomenys gaunami tiesiogiai iš fizinių asmenų, Atstovų ir/ar atstovaujamų asmenų. Duomenų valdytojas įsipareigoja neperduoti fizinių asmenų, Atstovų asmens duomenų jokioms nesusijusioms trečiosioms šalims, išskyrus šiuos atvejus:
24.1. Jei yra Duomenų subjekto sutikimas asmens duomenų atskleidimui;
24.2. Įgyvendinant savo kaip Duomenų valdytojo įsipareigojimus (pvz., duomenys gali būti perduodami prekių pristatymus teikiančioms (kurjerių), logistikos, archyvavimo, audito, teisines, finansines paslaugas teikiančioms įmonėms, Paslaugų teikėjams ir (arba) šalims, susijusioms su nacionalinėmis, Europos ir tarptautinėmis mokėjimo sistemomis, pvz., SWIFT);
24.3. Įgyvendinant Duomenų valdytojo teisėtus interesus (pvz., skolų išieškojimo atveju);
24.4. Įgaliotoms institucijoms, Lietuvos Respublikos teisės aktų numatyta tvarka (pvz., VMI).
25. Duomenų valdytojas gali pateikti, fizinių asmenų, Atstovų asmens duomenis šioje Politikoje nenurodytiems Duomenų tvarkytojams, kurie teikia paslaugas (atlieka darbus) Duomenų valdytojui ir tvarko fizinių asmenų, Atstovų asmens duomenis Duomenų valdytojo vardu.
26. Asmens duomenų sutarčių su paslaugų teikėjais, Tiekėjais vykdymo tikslu tvarkymo pagrindais yra: BDAR 6 straipsnio 1 dalies b punktas (sutarties vykdymas), c punktas (Duomenų valdytojui taikomos teisinės prievolės vykdymas) ir/ar f punktas (Duomenų valdytojo teisėtas interesas).

ASMENS DUOMENŲ TVARKYMAS DARBUOTOJŲ, KLIENTŲ, PASLAUGŲ TEIKĖJŲ (SUBRANGOVŲ) DARBUOTOJŲ SAUGUMO IR TURTO APSAUGOS UŽTIKRINIMO (VAIZDO STEBĖJIMO) TIKSLAIS

27. Duomenų valdytojas darbuotojų, Klientų, Paslaugų teikėjų (subrangovų) darbuotojų bei kitų į vaizdo stebėjimo lauką patekusių asmenų saugumo, taip pat turto apsaugos užtikrinimo (vaizdo stebėjimo), tikslais tvarko savo darbuotojų ir Klientų, Paslaugų teikėjų (subrangovų) darbuotojų bei kitų į vaizdo stebėjimo lauką patekusių asmenų vaizdo duomenis siekdamas užtikrinti jų bei turto saugumą.
28. Vaizdo duomenys gali būti perduodami:
28.1. Duomenų valdytojo paslaugų teikėjams, paslaugų teikėjo darbuotojų traumų ar kitų incidentų atvejais;
28.2. Teisėsaugos institucijoms pagal Lietuvos Respublikos teisės aktų numatytą tvarką;
28.3. Draudimo įmonėms, jeigu įvyksta incidentas, kuris gali būti pripažintas draudiminiu įvykiu.
29. Vaizdo duomenys perduodami tik tokia apimtimi, kiek tai yra susiję su tiriamu incidentu.
30. Jeigu vaizdo įrašų duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, vaizdo duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
31. Duomenų valdytojas gali pateikti darbuotojų, Klientų, Paslaugų teikėjų (subrangovų) darbuotojų bei kitų į vaizdo stebėjimo lauką patekusių asmenų vaizdo duomenis šioje Politikoje nenurodytiems Duomenų tvarkytojams, kurie teikia paslaugas (atlieka darbus) Duomenų valdytojui ir tvarko darbuotojų, Klientų, Paslaugų teikėjų (subrangovų) darbuotojų bei kitų į vaizdo stebėjimo lauką patekusių asmenų vaizdo duomenis Duomenų valdytojo vardu
32. Asmens duomenų darbuotojų, Klientų, Paslaugų teikėjų (subrangovų) darbuotojų bei kitų į vaizdo stebėjimo lauką patekusių asmenų saugumo ir turto apsaugos (vaizdo stebėjimo) tikslais tvarkymo pagrindu yra: BDAR 6 straipsnio 1 dalies f punktas (Duomenų valdytojo teisėtas interesas).

DUOMENŲ SAUGOJIMO TERMINAI

33. Duomenų valdytojas taiko skirtingus Asmens duomenų saugojimo terminus priklausomai nuo tikslo, kuriuo remiantis tvarkomi konkretūs Asmens duomenys.
34. Duomenų valdytojas taiko šiuos Asmens duomenų saugojimo terminus:

Nr.	Asmens duomenų tvarkymo tikslas	Saugojimo terminas
1.	Duomenų subjektų Asmens duomenų tvarkymas konsultacijos, užklausos įvykdymo tikslais	1 metai nuo konsultacijos, užklausos pateikimo dienos. Išskyrus atvejus, kai Duomenų subjektas sudaro sutartį dėl gaminamos produkcijos ir / ar paslaugų užsakymo ir atlikimo. Tuomet taikomas bendrasis 10 metų terminas
2.	Klientų asmens duomenų tvarkymas gaminamos produkcijos ir / ar paslaugų užsakymo ir atlikimo tikslu	Sutarties galiojimo metu ir 10 metų po sutarties pasibaigimo Buhalteriniai apskaitos dokumentai – 10 metų
3.	Fizinių asmenų, Atstovų asmens duomenų tvarkymas sutarčių su Paslaugų teikėjais, Tiekėjais vykdymo tikslu	Sutarties galiojimo metu ir 10 metų po sutarties pasibaigimo
4.	Asmens duomenų tvarkymas darbuotojų, Klientų, Paslaugų teikėjų (subrangovų) darbuotojų saugumo ir turto apsaugos (vaizdo stebėjimo) tikslais	14 kalendorinių dienų. Jeigu vaizdo įrašų duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, vaizdo duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi

35. Išimtys iš aukščiau nurodytų saugojimo terminų gali būti nustatomos tiek, kiek tokie nukrypimai nepažeidžia Duomenų subjektų teisių, atitinka teisinius reikalavimus ir yra tinkamai dokumentuoti.
36. Ilgesnis Asmens duomenų saugojimas gali būti vykdomas, kai:
36.1. Būtina, kad Duomenų valdytojas galėtų apsiginti nuo reikalavimų, pretenzijų ar ieškinių ir įgyvendinti savo teises;
36.2. Esama pagrįstų įtarimų dėl neteisėtos veikos, dėl kurios yra atliekamas tyrimas;
36.3. Asmens duomenys būtini tinkamam ginčo, skundo išsprendimui;
36.4. Rezervinių kopijų ir kitais su informacinių sistemų veikimu ir palaikymu susijusiais ar panašiais tikslais;
36.5. Esant kitiems teisės aktuose numatytiems pagrindams.
37. Duomenys, reikalingi siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus saugomi tiek, kiek šie yra būtini tokiems tikslams pasiekti pagal teisminę, administracinę arba neteisminę procedūrą.

DUOMENŲ SUNAIKINIMAS

38. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys sunaikinami taip, kad jie tampa neatkuriamais.
39. Elektronine forma saugomi Asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.
40. Popieriniai dokumentai, kuriuose yra Asmens duomenų, sunaikinami (susmulkinami dokumentų smulkintuvu).

DUOMENŲ SUBJEKTŲ TEISĖS

41. Duomenų subjektas, kurio duomenys tvarkomi Duomenų valdytojo veikloje, turi šias teises:
41.1. Teisė būti informuotam;
41.2. Prieigos teisė;
41.3. Ištaisymo ir ištrynimo teisė;
41.4. Teisė apriboti duomenų tvarkymą;
41.5. Teisė į duomenų perkeliamumą;
41.6. Teisė prieštarauti duomenų tvarkymui;
41.7. Teisė nesutikti, kad būtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas;
41.8. Teisė pateikti skundą priežiūros institucijai.
42. Duomenų valdytojas gali nesudaryti Duomenų subjektams sąlygų įgyvendinti BDAR nustatytų teisių, kai įstatymų numatytais atvejais, reikia užtikrinti nusikaltimų, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, taip pat Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

43. Gavę bet kokį Duomenų subjekto prašymą, Duomenų valdytojo Darbuotojai privalo arba jį perduoti kitam darbuotojui, kompetentingam nagrinėti tą konkretų prašymą, arba, jei jie turi tokią kompetenciją, nagrinėti prašymą patys.
44. Duomenų subjekto prašymas nagrinėjamas Duomenų subjekto teisių įgyvendinimo taisyklių nustatyta tvarka (HG-HR-KLP-H-003-A-01).
45. Jei prašymą pateikia Duomenų subjekto atstovas, Atsakingas darbuotojas turi imtis atitinkamų veiksmų siekdamas įsitikinti šio teise atstovauti tą konkretų asmenį.
46. Informacija teikiama ir reikalavimai vykdomi tik prašymą teikiančiam asmeniui patvirtinus savo tapatybę ir pateikus pasirašytą prašymą ar jo kopiją.
47. Duomenų valdytojo darbuotojai privalo žodžiu informuoti Asmens duomenų subjektus, kurie kreipėsi su prašymais įgyvendinti Asmens duomenų subjekto teises, apie aukščiau paminėtus reikalavimus ir tapatybės nustatymo būdus.

TEISĖS BŪTI INFORMUOTAM ĮGYVENDINIMO TVARKA

48. Duomenų subjektams prieš pradedant tvarkyti jų Asmens duomenis būtina pateikti šią informaciją:
48.1. Duomenų valdytojo pavadinimą, rekvizitus ir kontaktinius duomenis;
48.2. Duomenų tvarkymo tikslus;
48.3. Duomenų tvarkymo teisinį pagrindą;
48.4. Duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;
48.5. Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
48.6. Teisę prašyti, kad Duomenų valdytojas leistų susipažinti su Duomenų subjekto Asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad Duomenys būtų tvarkomi, taip pat teisę į Duomenų perkeliamumą;
48.7. Teisę pateikti skundą Priežiūros institucijai;
48.8. Jei yra, Asmens duomenų gavėjus arba Asmens duomenų gavėjų kategorijas;
48.9. Teisėtus duomenų valdytojo arba trečiosios šalies interesus, kai duomenys tvarkomi siekiant teisėtų Duomenų valdytojo ar trečiosios šalies interesų;
48.10. Kai taikoma, apie duomenų valdytojo ketinimą Asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai;
48.11. Kai taikoma, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio Duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui.
49. Tuo atveju, jei duomenų teisinio tvarkymo pagrindu yra teisinė prievolė ar sutartis, Duomenų subjektui pateikiama ši informacija:
49.1. Informacija apie tai, ar Duomenų subjektas privalo pateikti Asmens duomenis ir galimas pasekmes nepateikus tokių duomenų;
49.2. Informacija apie tai, ar duomenų pateikimas yra teisės aktuose arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį.
50. Tuo atveju, jei Asmens duomenys tvarkomi remiantis Duomenų subjekto sutikimu, šiam pateikiama tokia informacija:
50.1. Informacija apie teisę atsiimti savo sutikimą bet kuriuo metu, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
50.2. Informacija apie teisę pareikalauti skaitmeninio dokumento su savo asmenine informacija, kai Duomenų subjektas informaciją Duomenų valdytojui pateikia susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.
50.3. Tuo atveju, jei Asmens duomenys gauti ne iš Duomenų subjekto, turi būti pateikiama aukščiau išvardyta informacija, išskyrus nurodytąją 49 punkte, bei papildomai ši informacija:
50.3.1. Asmens duomenų kategorijos, kurias planuojama tvarkyti;
50.3.2. Koks yra asmens duomenų kilmės šaltinis ir ar duomenys gauti iš viešai prieinamų šaltinių.
51. 48 – 50 punktai netaikomi, jeigu Duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.
52. Duomenų gavimo ne iš Duomenų subjekto atveju, informacija pateikiama per:
52.1. Vieną mėnesį nuo Duomenų gavimo;
52.2. Jei Duomenys bus naudojami ryšiams su Duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo Duomenų subjektu;
52.3. Jeigu numatoma Asmens duomenis atskleisti kitam Duomenų gavėjui – ne vėliau kaip atskleidžiant Duomenis pirmą kartą.
53. Informacija turi būti pateikiama glausta, skaidria, aiškia ir lengvai prieinama forma, aiškia ir paprasta kalba.
54. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, tačiau visais atvejais apie konkretų asmenį renkama informacija pateikiama tik Duomenų subjektui įrodžius savo tapatybę.
55. Pareiga pateikti informaciją netaikoma tiek, kiek:
55.1. Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų. Tokiais atvejais Duomenų valdytojas imasi tinkamų priemonių Duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
55.2. Duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos arba nacionalinėje teisėje įtvirtintuose teisės aktuose, ir kurie taikomi Duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų Duomenų subjekto interesų apsaugos priemonės;
55.3. Kai Asmens duomenys privalo išlikti konfidencialūs laikantis Europos Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės.
56. Sutikimas nėra laikomas tinkamu, jei jis gautas Duomenų subjektui nepateikus privalomos pateikti informacijos apie jo asmens duomenų tvarkymą.

PRIEIGOS TEISĖS ĮGYVENDINIMO TVARKA

57. Duomenų subjektas tiesiogiai arba per atstovą turi teisę iš Duomenų valdytojo gauti patvirtinimą, ar su juo susiję Asmens duomenys yra tvarkomi, o jei tokie Asmens duomenys yra tvarkomi, turi teisę susipažinti su Asmens duomenimis ir gauti informaciją, nurodytą šios Politikos 62 punkte.
58. Teisę gauti informaciją apie Duomenų valdytojo tvarkomus Asmens duomenis Duomenų subjektas gali įgyvendinti pateikdamas laisvos formos prašymą arba užpildydamas Bendrovės darbuotojo, į kurį kreipėsi duomenų subjektas, pateiktą Prašymas įgyvendini subjekto teises (HG-HR-KLP-H-003-F-04).
59. Bendrovės darbuotojas, į kurį kreipėsi duomenų subjektas, esant galimybei turi pasiūlyti besikreipiančiam Duomenų subjektui užpildyti nurodytą Prašymas įgyvendini subjekto teises (HG-HR-KLP-H-003-F-04), nes šios laikymasis gali reikšmingai palengvinti pareigos pateikti reikalingą informaciją įgyvendinimą.
60. Tikslas įprastai naudoti standartizuotas formas neturi būti suprantamas kaip teisė atsisakyti priimti nustatytos formos neatitinkantį Duomenų subjekto prašymą ar vilkinti jo nagrinėjimą, jei šis leidžia nustatyti Duomenų subjekto tapatybę.
61. Atsakingas darbuotojas, nustatęs Duomenų subjekto tapatybę, nedelsdamas turi imtis veiksmų siekdamas išsiaiškinti, kokius Duomenų subjekto Asmens duomenis tvarko Duomenų valdytojas ir surenka 62 punkte nurodytą informaciją.
62. Atsakingas darbuotojas pateikia tvarkomų Asmens duomenų kopiją arba suteikia prieigą prie šių Duomenų. Už bet kurias kitas Duomenų subjekto prašomas kopijas Duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas.
63. Teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms, todėl prašymą vykdantis Atsakingas darbuotojas privalo paslėpti ar pašalinti informaciją, susijusią su kitais fiziniais asmenimis. Be to, Atsakingas darbuotojas privalo užtikrinti, kad šios teisės neigiamai nepaveiktų kitų asmenų teisių ir laisvių, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga.
64. Kartu su Duomenų kopija (arba atskirai jei kopija nėra teikiama), prašymą vykdantis Atsakingas darbuotojas Duomenų subjektui pateikia šią informaciją:
64.1. Duomenų tvarkymo tikslai;
64.2. Atitinkamų Asmens duomenų kategorijos;
64.3. Duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti Asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;
64.4. Asmens duomenų saugojimo laikotarpis arba, jei neįmanoma jo nurodyti, kriterijai, taikomi tam laikotarpiui nustatyti;
64.5. Teisė prašyti Duomenų valdytojo ištaisyti arba ištrinti Asmens duomenis ar apriboti su Duomenų subjektu susijusių Asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
64.6. Teisė pateikti skundą Priežiūros institucijai;
64.7. Kai Asmens duomenys renkami ne iš Duomenų subjekto, visa turima informacija apie jų šaltinius;
64.8. Tai, ar taikomas automatizuotas sprendimų priėmimas, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui.
65. Kai Asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, Duomenų subjektas turi teisę būti informuotas apie tinkamas su Duomenų perdavimu susijusias apsaugos priemones.
66. Kai Duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir Duomenų subjektas neprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

TEISĖS IŠTAISYTI ARBA IŠTRINTI DUOMENIS ĮGYVENDINIMO TVARKA

67. Duomenų subjektas turi teisę reikalauti, kad Duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius Asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, Duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs Asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.
68. Duomenų subjektas turi teisę reikalauti, kad Duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius Asmens duomenis, o Duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti Asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:
68.1. Asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
68.2. Duomenų subjektas atšaukia sutikimą, kuriuo yra grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
68.3. Duomenų subjektas nesutinka su duomenų tvarkymu pagal šios Politikos 79 punktą ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba Duomenų subjektas nesutinka su duomenų tvarkymu pagal šios Politikos 80 punktą;
68.4. Asmens duomenys buvo tvarkomi neteisėtai;
68.5. Asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba nacionalinėje teisėje nustatytos teisinės prievolės.
69. Kai Duomenų valdytojas viešai paskelbė Asmens duomenis ir pagal 67 ir 68 punktus privalo Asmens duomenis ištrinti, Duomenų subjekto prašymą nagrinėjantis Atsakingas darbuotojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų Duomenis tvarkančius duomenų valdytojus, jog Duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos Asmens duomenis arba jų kopijas ar dublikatus.
70. 67 ir 68 punktai netaikomi, jeigu duomenų tvarkymas yra būtinas:
70.1. Siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;
70.2. Siekiant laikytis Europos Sąjungos ar nacionalinėje teisėje nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui;
70.3. Dėl viešojo intereso priežasčių visuomenės sveikatos srityje;
70.4. Archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, jeigu dėl nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba
70.5. Siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
71. Prašymą nagrinėjantis Atsakingas darbuotojas informuoja Duomenų subjektą apie priimtą sprendimą ištaisyti ar ištrinti Duomenis, o tuo atveju, jei atsisakoma tai padaryti – tokio sprendimo motyvus.

TEISĖS APRIBOTI DUOMENŲ TVARKYMĄ ĮGYVENDINIMO TVARKA

72. Duomenų subjekto reikalavimą nagrinėjantis Atsakingas darbuotojas turi imtis reikiamų veiksmų siekdamas apriboti Duomenų tvarkymą esant bet kurioms iš šių aplinkybių:
72.1. Duomenų subjektas užginčija Duomenų tikslumą tokiam laikotarpiui, per kurį Duomenų valdytojas gali patikrinti Asmens duomenų tikslumą;
72.2. Asmens duomenų tvarkymas yra neteisėtas ir Duomenų subjektas nesutinka, kad Duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
72.3. Duomenų valdytojui nebereikia Asmens duomenų tvarkymo tikslais, tačiau jų reikia Duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba
72.4. Duomenų subjektas pagal 79 punktą paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar Duomenų valdytojo teisėti interesai yra viršesni už Duomenų subjekto interesus.
73. Kai duomenų tvarkymas yra apribotas pagal 72 punktą, tokius Asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus Duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Europos Sąjungos arba Lietuvos Respublikos viešojo intereso priežasčių.
74. Kai nusprendžiama panaikinti apribojimą tvarkyti Duomenis, tokį sprendimą įgyvendinantis Atsakingas darbuotojas privalo informuoti Duomenų subjektą prieš panaikindamas apribojimą tvarkyti Duomenis.

TEISĖS Į DUOMENŲ PERKELIAMUMĄ ĮGYVENDINIMO TVARKA

75. Atsakingas darbuotojas, gavęs Duomenų subjekto prašymą, turi surinkti ir pateikti su prašymo teikėju susijusius Asmens duomenis, kuriuos šis pateikė Duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Atsakingas darbuotojas tokį prašymą vykdo tik esant šioms aplinkybėms:
75.1. Duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi; ir
75.2. Duomenys yra tvarkomi automatizuotomis priemonėmis.
76. Tuo atveju, jei turintis teisę į Duomenų perkeliamumą pagal 75 punktą Duomenų subjektas pageidauja, kad vienas Duomenų valdytojas Asmens duomenis tiesiogiai persiųstų kitam, prašymą nagrinėjantis Atsakingas darbuotojas įvertina, ar tai techniškai įmanoma.
77. Teisė į duomenų perkeliamumą nebus taikoma tada, kai tvarkymas būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui.
78. 75 punkte nurodyta teisė neturi daryti neigiamo poveikio kitų teisėms ir laisvėms.

TEISĖS PRIEŠTARAUTI DUOMENŲ TVARKYMUI ĮGYVENDINIMO TVARKA

79. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję Asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas remiantis teisėtu Duomenų valdytojo ar trečiojo asmens interesu kaip duomenų tvarkymo teisiniu pagrindu. Nesutikimą nagrinėjantis Atsakingas darbuotojas privalo imtis veiksmų, kad Duomenų valdytojas nebetvarkytų to subjekto Asmens duomenų.
80. Nagrinėdamas nesutikimą, Atsakingas darbuotojas įvertina, ar Duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už Duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus. Tokiu atveju nesutikimas atmetamas ir Atsakingas darbuotojas pateikia atsakymą Duomenų subjektui, paaiškindamas nesutikimo motyvus.
81. Kai Duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, tokį prieštaravimą nagrinėjantis Darbuotojas nedelsdamas turi imtis veiksmų, kad Asmens duomenys tokiais tikslais nebebūtų tvarkomi. Tokiu atveju 80 punktas netaikytinas.
81. Kai Asmens duomenys yra tvarkomi statistiniais tikslais, Duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję Asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.

TEISĖS NESUTIKTI SU ATSKIRŲ SPRENDIMŲ PRIĖMIMU, ĮSKAITANT PROFILIAVIMĄ, ĮGYVENDINIMO TVARKA

82. Duomenų subjektas turi teisę reikalauti, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį, išskyrus atvejus, kai sprendimas yra:
82.1. Būtinas siekiant sudaryti arba vykdyti sutartį tarp Duomenų subjekto ir Duomenų valdytojo;
82.2. Leidžiamas Sąjungos arba valstybės narės teisėje, kurie taikomi duomenų valdytojui ir kuriais taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba
82.3. Yra pagrįstas aiškiu duomenų subjekto sutikimu.
83. Kai sprendimas būtinas siekiant sudaryti arba vykdyti sutartį tarp Duomenų subjekto ir Duomenų valdytojo ar pagrįstas aiškiu duomenų subjekto sutikimu Duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.
84. Aukščiau nurodytos teisės įgyvendinamos per BDAR nustatytus laikotarpius:

Duomenų subjekto prašymas	Laikotarpis
Teisė būti informuotam	Duomenų gavimo metu (jei Duomenys pateikti Duomenų subjekto) arba per vieną mėnesį (jei pateikti ne Duomenų subjekto)
Prieigos teisė (teisė susipažinti)	Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Teisė į patikslinimą (teisė ištaisyti)	Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Ištrynimo teisė (teisė sunaikinti duomenis ir teisė “būti pamirštam”)	Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, išskyrus teisės aktų nustatytus atvejus
Teisė apriboti duomenų tvarkymą	Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Teisė į duomenų perkeliamumą	Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo
Teisė prieštarauti duomenų tvarkymui	Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo *Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara, asmens duomenys tokiais tikslais nebetvarkomi.
Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu	Nepagrįstai nedelsiant, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo

85. Standartizuotai Duomenų subjektų prašymai dėl susipažinimo su duomenimis gaunami šiems užpildžius Duomenų subjektų prašymą įgyvendinti duomenų subjekto teisę (-es) (HG-HR-KLP-H-003-F-04).
86. Duomenų valdytojas negali formaliai remtis minėtos formos (Prašymas įgyvendini subjekto teises (HG-HR-KLP-H-003-F-04)) nesilaikymu kaip pagrindu atsisakyti priimti Duomenų subjekto prašymą ar vilkinti jo nagrinėjimą.
87. Duomenų valdytojas turi informuoti Duomenų subjektus apie jų teises aiškia, glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
88. Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti Duomenų subjektui įgyvendinti jo teises arba imti pagrįstą mokestį, kai Duomenų̨ subjekto prašymai yra akivaizdžiai nepagristi arba neproporcingi, Duomenų subjektas piktnaudžiauja, visų pirma dėl jų pasikartojančio turinio, Duomenų valdytojas gali arba:
88.1. imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba
88.2. gali atsisakyti imtis veiksmų pagal prašymą̨.
89. Duomenų̨ valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagristas arba neproporcingas.

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ RENGIMO PROCESAS

90. Kiekvienas Duomenų valdytojas ir, kai taikoma, Duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:
90.1. Duomenų valdytojo ir, jei taikoma, Bendro duomenų valdytojo, Duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
90.2. Duomenų tvarkymo tikslai;
90.3. Duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;
90.4. Duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;
90.5. Kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir BDAR 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;
90.6. Kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;
90.7. Kai įmanoma, bendras techninių ir organizacinių saugumo priemonių aprašymas (įskaitant, jei reikia, pseudonimų suteikimą Asmens duomenims ir jų šifravimą, gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą; gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju; reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą).
91. Veiklos (duomenų tvarkymo) įrašai privalomi, kai atliekamas asmens duomenų tvarkymas apima bent vieną iš šių atvejų:
91.1. Kai Bendrovėje dirba virš 250 darbuotojų;
91.2. Dėl duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms;
91.3. Duomenų tvarkymas yra reguliarus;
91.4. Tvarkomi specialiųjų kategorijų asmens duomenys.
92. Veiklos įrašai tvarkomi raštu, įskaitant elektronine forma (gali būti tvarkomi ir tik elektronine forma).

DUOMENŲ SUBJEKTŲ SUTIKIMAS

93. Jei tvarkymui nėra kito pagrindo, nustatyto BDAR arba ADTAĮ, iš Duomenų subjekto turi būti gautas laisva valia aiškiai išreikštas sutikimas tam, kad būtų galima rinkti ir tvarkyti jo Asmens duomenis.
94. Kai duomenys tvarkomi remiantis sutikimu, Duomenų valdytojas turi galėti įrodyti, kad Duomenų subjektas davė sutikimą, kad būtų tvarkomi jo Asmens duomenys.
95. Jeigu Duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
96. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti.
97. Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES AR TARPTAUTINES ORGANIZACIJAS

98. Perduoti Asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai galima, jeigu Europos Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiam duomenų perdavimui specialaus Europos Komisijos ar valstybių narių leidimo nereikia.
99. Komisija Europos Sąjungos oficialiajame leidinyje ir savo interneto svetainėje paskelbia trečiųjų valstybių, teritorijų ir nurodyto vieno ar kelių sektorių trečiojoje valstybėje, taip pat tarptautinių organizacijų, kurios, kaip ji nusprendė, užtikrina tinkamą apsaugos lygį arba jo nebeužtikrina, sąrašą.
100. Jeigu nėra priimtas Europos Komisijos sprendimas perduoti Duomenis atitinkamai trečiajai valstybei, Duomenų valdytojas arba Duomenų tvarkytojas gali perduoti Asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu Duomenų valdytojas arba Duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis Duomenų subjektų teisėmis ir veiksmingomis Duomenų subjektų teisių gynimo priemonėmis.
101. Asmens duomenys į trečiąsias valstybes arba tarptautinėms organizacijoms gali būti perduodami pritaikius vieną ar daugiau iš žemiau nurodytų tinkamų apsaugos priemonių:
101.1. Priežiūros institucijos patvirtintos, įmonėms privalomos taisyklės;
101.2. Standartinės sutarčių sąlygos dėl Duomenų apsaugos, priimtos Komisijos;
101.3. Standartinės sutarčių sąlygos dėl Duomenų apsaugos, priimtos Priežiūros institucijos, arba Priežiūros institucijos pripažintos sutarties sąlygos;
101.4. Patvirtintas elgesio kodeksas, apibrėžiantis tarptautinį Duomenų perdavimą;
101.5. Sertifikavimas, apsaugos ženklai ir/arba žymenys, kuriuos galima panaudoti pademonstruoti Duomenų tvarkytojo ar valdytojo laikymąsi nustatytų Duomenų apsaugos priemonių.
102. Jeigu nepriimtas sprendimas dėl tinkamumo pagal 98 – 103 punktus arba nenustatytos tinkamos apsaugos priemonės pagal 101 punktą, Duomenų valdytojas atlieka Asmens duomenų perdavimą į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atlieka tik su viena iš šių sąlygų:
102.1. Duomenų subjektas aiškiai sutiko su siūlomu Duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus Duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;
102.2. Duomenų perdavimas yra būtinas Duomenų subjekto ir Duomenų valdytojo sutarčiai vykdyti arba ikisutartinėms priemonėms, kurių imtasi Duomenų subjekto prašymu, įgyvendinti;
102.3. Duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta Duomenų subjekto interesais sudaroma Duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;
102.4. Duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;
102.5. Duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai Duomenų subjekto arba kitų asmenų interesai, jeigu Duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo.
103. Aukščiau aprašytos asmens duomenų perdavimo priemonės ir procedūros detaliai aprašytos BDAR V skyriuje.

DUOMENŲ APSAUGOS PAREIGŪNAS

104. Pagal BDAR 37 str. 1 dalį Duomenų valdytojas privalo paskirti duomenų apsaugos pareigūną, jei Duomenų valdytojo arba Duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus, arba pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu, arba kai duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas. Atsižvelgiant į tai, kad UAB “Home Group” nepatenka į BDAR 37 straipsnio 1 dalies taikymo sritį, UAB “Home Group” pareigos paskirti duomenų apsaugos pareigūną neturi.

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

105. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, apimtį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą.
106. Kai duomenų tvarkymas tikėtinai gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms, Poveikio duomenų apsaugai vertinimas turėtų būti atliekamas prieš asmens duomenų tvarkymą. Duomenų valdytojas turi atlikti poveikio duomenų apsaugai vertinimą tam, kad būtų įvertinta visų pirma to pavojaus kilmė, pobūdis, specifika ir rimtumas. Poveikio duomenų apsaugai vertinimas turėtų prasidėti taip anksti, kaip yra praktiška kuriant tvarkymo operaciją, net jei tam tikri jos aspektai vis dar nėra žinomi. Tai, kad gali prireikti atlikti pakartotinį poveikio duomenų apsaugai vertinimą kai tvarkymas jau bus prasidėjęs nėra pateisinama priežastis atidėti ar nevykdyti poveikio duomenų apsaugai vertinimo.

POREIKIO ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ NUSTATYMAS

107. Remiantis BDAR 35 str., Duomenų valdytojas privalo atlikti Poveikio duomenų apsaugai vertinimą, kadangi atlieka asmens vaizdo duomenų tvarkymą darbo vietoje ir teritorijoje, kurioje dirba jo Darbuotojai bei vykdo praėjimo ir blaivumo matavimo kontrolę. Poveikio duomenų apsaugai vertinimas atliekamas pagal šioje politikoje nurodytą metodiką.
108. Poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta pakartotinai, jei yra atliekami esminiai vertinto duomenų tvarkymo pakeitimai.

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į TOKIUS PAŽEIDIMUS TVARKA

109. Duomenų valdytojo Darbuotojai, turintys prieigos teisę prie Duomenų, pastebėję Duomenų saugumo pažeidimus (asmenų neveikimą ar veiksmus, galinčius sukelti ar sukeliančius grėsmę Duomenų saugumui), turi informuoti Atsakingą darbuotoją, ir / ar savo tiesioginį vadovą.
110. Įvertinę Duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamiesi Reagavimo į asmens duomenų saugumo pažeidimus taisykles (HG-HR-KLP-H-003-A-02), Atsakingi darbuotojai priima sprendimus dėl priemonių, reikiamų Duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

ASMENS DUOMENŲ TVARKYMO SUTARTIMS KELIAMI REIKALAVIMAI

111. Sudarydamas sutartį su Duomenų tvarkytoju, Duomenų valdytojas turi įtraukti nuostatas, apimančias šią informaciją:
111.1. Duomenų tvarkymo dalykas ir trukmė;
111.2. Duomenų tvarkymo pobūdis ir tikslai;
111.3. Duomenų rūšys ir Duomenų subjektų kategorijos;
111.4. Šalių teisės ir pareigos, kylančios iš Asmens duomenų apsaugos teisinio reguliavimo;
111.5. Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius Duomenų valdytojo nurodymus. Duomenų tvarkytojui paliekama teisė priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia Duomenų tvarkymo tikslų;
111.6. Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus;
111.7. Duomenų tvarkymo saugumo priemonės. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti tokį patį saugumo lygį, koks yra numatytas Duomenų valdytojo saugumo politikoje, t. y. atitinkantį Duomenų pobūdį ir su jais siejamos grėsmės lygį. BDAR 32 str. kaip tokių priemonių pavyzdžius nurodo pseudonimų suteikimą, šifravimą, duomenų tvarkymo sistemų bei paslaugų konfidencialumo užtikrinimą ir kt.
111.8. Kitų Duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus Duomenų tvarkytojus tik gavęs išankstinį Duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu tvarkytoju;
111.9. Pagalba įgyvendinant Duomenų subjektų teises;
111.10. Pagalba teikiant pranešimus apie Duomenų saugumo pažeidimus. Duomenų tvarkytojas turi įsipareigoti nedelsdamas informuoti Duomenų valdytoją sužinojęs apie bet kokį asmens duomenų saugumo pažeidimą;
111.11. Pagalba atliekant poveikio duomenų apsaugai vertinimą;
111.12. Pagalba konsultuojantis su Priežiūros institucija;
111.13. Duomenų ištrynimo ir grąžinimo tvarka. Sutartyje būtina numatyti, kas nutinka pas Duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė;
111.14. Atitikties įrodinėjimo būdai. T. y. pateikti visą informaciją, įrodančią su duomenų tvarkymu susijusių pareigų laikymąsi;
111.15. Auditavimo bei patikrinimų galimybė. Pagalba Duomenų valdytojui arba kitam Duomenų valdytojo įgaliotam auditoriui atliekant auditą, įskaitant patikrinimus.
112. Aukščiau nurodytos nuostatos gali būti tiek įtraukiamos į pagrindinę sutartį, tiek ir aptariamos atskirame susitarime dėl perduodamų Asmens duomenų saugumo.

TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

113. Duomenų valdytojo įgyvendinamos organizacinės ir techninės duomenų saugumo priemonės užtikrina tokį saugumo lygį, kuris atitinka Duomenų valdytojo valdomų duomenų pobūdį ir jų tvarkymo keliamą riziką.
114. Popierinės formos Darbuotojų asmens bylos, Kandidatų, kitų asmenų dokumentų rinkiniai, kuriuose yra pakankamai jautraus pobūdžio Asmens duomenų, saugomi rakinamoje spintoje ir / ar rakinamoje patalpoje.
115. Siekiant apsaugoti automatiniu būdu tvarkomus Duomenis, naudojamos tokios organizacinės ir techninės duomenų saugumo priemonės:
115.1. Vaidmenys ir atsakomybės. Su asmens duomenų tvarkymu susiję vaidmenys ir atsakomybės turi būti aiškiai apibrėžti ir paskirstyti pagal saugumo politiką;
115.2. Prieigos valdymo politika. Kiekvienam vaidmeniui, susijusiam su asmens duomenų tvarkymu, turi būti priskirtos konkrečios prieigos kontrolės teisės;
115.3. Išteklių ir turto valdymas. Organizacija turi turėti IT išteklių, naudojamų asmens duomenims tvarkyti, registrą, o registro tvarkymas turi būti priskirtas konkrečiam asmeniui;
115.4. Pakeitimų valdymas. Organizacija turi užtikrinti, kad visi IT sistemų pakeitimai būtų stebimi ir registruojami konkretaus asmens;
115.5. Veiklos tęstinumas. Organizacija turi nustatyti pagrindines procedūras, kurių reikia laikytis incidento ar asmens duomenų saugumo pažeidimo atveju, kad būtų užtikrintas reikiamas asmens duomenų tvarkymo IT sistemomis tęstinumas ir prieinamumas;
115.6. Prieigų kontrolė ir autentifikavimas. Turi būti įdiegta ir įgyvendinta bei visiems IT sistemos naudotojams taikoma Prieigų kontrolės sistema. Prieigų kontrolės sistema turi leisti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras. Turi būti vengiama naudoti bendras naudotojų paskyras. Vietose, kur bendra naudotojų paskyra yra būtina, turi būti užtikrinta, kad visi bendros paskyros naudotojai turi tokias pat teises ir pareigas. Minimalus reikalavimas naudotojui prisijungti prie IT sistemos – naudotojo prisijungimo vardas ir slaptažodis. Prieigų kontrolės sistema turi turėti galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka tam tikro kompleksiškumo lygio;
115.7. Techninių žurnalų įrašai ir stebėsena. Techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui. Techniniuose žurnaluose turi būti matomi visi įmanomi prieigų prie asmens duomenų įrašų tipai (pvz., data, laikas, peržiūrėjimas, keitimas, panaikinimas). Saugojimo terminas: ne mažiau kaip 6 mėnesiai. Techninių žurnalų įrašai turi turėti laiko žymas ir būti apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos. IT sistemose naudojami laiko apskaitos mechanizmai turi būti sinchronizuoti pagal bendrą laiko atskaitos šaltinį;
115.8. Tarnybinių stočių, duomenų bazių apsauga. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi būti sukonfigūruotos taip, kad veiktų korektiškai ir naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis. Duomenų bazės ir taikomųjų programų tarnybinės stotys turi apdoroti tik tuos asmens duomenis, kurie yra reikalingi darbui, atitinkančiam duomenų apdorojimo tikslus;
115.9. Darbo stočių apsauga. Naudotojams negalima turėti galimybės išjungti ar apeiti, išvengti saugos nustatymų. Antivirusinės taikomosios programos ir jų informacijos apie virusus duomenų bazės turi būti atnaujinamos ne rečiau kaip kas savaitę. Naudotojams negalima turėti privilegijų diegti, šalinti, administruoti neautorizuotos programinės įrangos. IT sistemos turi turėti nustatytą sesijos laiką, t. y. naudotojui esant neaktyviam, neveiksniam sistemoje nustatytą laiką, jo sesija privalo būti nutraukta. Neaktyvios sesijos laikas: ne daugiau kaip 15 min. Kritiniai operacinės sistemos saugos atnaujinimai privalo būti diegiami reguliariai ir nedelsiant;
115.10. Tinklo ir komunikacijos sauga. Kai prieiga prie naudojamų IT sistemų yra vykdoma internetu, privaloma naudoti šifruotą komunikacijos kanalą, t. y. kriptografinius protokolus (pvz., TLS, SSL);
115.11. Atsarginės kopijos. Atsarginės kopijos ir duomenų atstatymo procedūros privalo būti apibrėžtos, dokumentuotos ir aiškiai susaistytos su rolėmis ir pareigomis. Atsarginių kopijų laikmenoms privalo būti užtikrintas tinkamas fizinis aplinkos, patalpų saugos lygis, priklausantis nuo saugomų duomenų. Atsarginių kopijų darymo procesas turi būti stebimas, siekiant užtikrinti užbaigtumą, išsamumą. Pilnos atsarginės duomenų kopijos privalo būti daromos reguliariai. Siūlomas atsarginių kopijų darymo dažnumas: kasdien – pridedamoji kopija; kas savaitę – pilna kopija;
115.12. Mobilieji, nešiojami įrenginiai. Mobiliųjų ir nešiojamų įrenginių administravimo procedūros privalo būti nustatytos ir dokumentuotos, aiškiai aprašant tinkamą tokių įrenginių naudojimąsi. Mobilieji, nešiojami įrenginiai, kuriais bus naudojamasi darbui su informacinėmis sistemomis, prieš naudojimąsi turi būti užregistruoti ir autorizuoti. Mobilieji įrenginiai turi būti adekvataus prieigos kontrolės procedūrų lygio, kaip ir kita naudojama įranga asmens duomenims apdoroti;
115.13. Programinės įrangos sauga. Informacinėse sistemose naudojama programinė įranga (asmens duomenims apdoroti) turi atitikti programinės įrangos saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus. Specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose. Turi būti laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerosios praktikos. Programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus;
115.14. Duomenų naikinimas, šalinimas. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Tais atvejais, kai to padaryti neįmanoma (pvz., CD, DVD laikmenos ir pan.), turi būti įvykdytas fizinis duomenų laikmenos sunaikinimas be galimybės atstatyti. Popierius ir nešiojamos duomenų laikmenos, kuriose buvo saugomi, kaupiami asmens duomenys, turi būti naikinami tam skirtais smulkintuvais;
115.15. Fizinė sauga. Turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos.
116. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie Asmens duomenys, kurie yra būtini kiekvienam konkrečiam Duomenų tvarkymo tikslui. Ši prievolė taikoma surinktų Asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su Asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
117. Duomenų valdytojas imasi reikiamų atsargumo priemonių išsaugoti Duomenų subjektų Asmens duomenų vientisumą ir neleisti, kad šie duomenys būtų sugadinti ar prarasti, įskaitant rūpinimąsi reikiamu duomenų atstatymu.

‘PRIVACY BY DESIGN’, ‘PRIVACY BY DEFAULT’ PRINCIPŲ TAIKYMO GAIRĖS

118. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, Duomenų valdytojas, tiek nustatydamas Duomenų tvarkymo priemones, tiek paties Duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones.
119. Pritaikytoji duomenų apsauga (‘privacy by design’) reiškia, kad kiekviena nauja programa ar sistema naudojanti Asmens duomenis turi būti kuriama atsižvelgiant į tokių Duomenų apsaugą. Į privatumą turi būti atsižvelgiama per visą programos ar sistemos gyvavimo laiką.
120. Standartizuotoji duomenų apsauga (“privacy by default”) kelia reikalavimą taikyti griežčiausius privatumo nustatymus tam tikrai programai ar sistemai, kai tik ta programa ar sistema tampa prieinama.
121. Šiomis priemonėmis siekiama veiksmingai įgyvendinti Duomenų apsaugos principus, tokius kaip Duomenų kiekio mažinimo principą, ir į Duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų BDAR reikalavimus ir apsaugotų Duomenų subjektų teises.

DARBUOTOJŲ MOKYMAS

122. Duomenų valdytojas bent kartą per metus organizuoja mokymus Darbuotojams, turintiems teisę nuolat ar reguliariai susipažinti su Asmens duomenimis. Mokymų skaičius neribojamas. Duomenų valdytojas turi užtikrinti, kad visi darbuotojai būtų tinkamai informuoti apie IT sistemų saugumo kontrolę (slaptažodžių naudojimą ir prieiga prie konkrečių IT sistemų), susijusią su jų kasdieniu darbu, Asmens duomenų apsaugos reikalavimais, Duomenų valdytojo ir Darbuotojų teisiniais įsipareigojimais ir atsakomybėmis.
123. Visiems naujiems Duomenų valdytojo darbuotojams pirmosiomis jų realaus darbo dienomis yra vedami mokymai Duomenų valdytojo tvarkomų asmens duomenų tema.
124. Mokymų turinys turi padėti darbuotojams vykdyti savo darbines pareigas laikantis BDAR ir kituose Asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Mokymai apima, bet neapsiriboja, supažindinimu pasirašytinai su šia Politika, Pasižadėjimu saugoti asmens duomenų paslaptį (HG-HR-KLP-H-003-F-02), kuri yra pridedama kaip prie šios Politikos. Taip pat darbuotojai, jei reikia, supažindinami su Privatumo taisyklėmis, kurios taikomos interneto svetainėms, kitais vidaus tvarkos dokumentais, kurie yra susiję su elgesiu internetinėje erdvėje, techninėmis ir administracinėmis priemonėmis, kurių turi imtis kiekvienas konkretus darbuotojas pagal jo pareigybes ir kita susijusia informacija bei gerąja praktika. Mokymai, be kita ko, apima ir pagrindinių sąvokų (Duomenų valdytojas, Duomenų tvarkytojas, Duomenų subjektas, Asmens duomenys, Duomenų tvarkymas, Ypatingi asmens duomenys) išaiškinimą.
125. Mokymai yra dokumentuojami, nurodant, be kita ko, jų datą, temą, dalyvavusius darbuotojus.
126. Duomenų valdytojo darbuotojai turi laikytis konfidencialumo pareigos ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.
127. Duomenų valdytojo darbuotojus Duomenų saugos klausimais konsultuoja, informuoja ir jų apmokymus organizuoja duomenų apsaugos pareigūnas (jei toks yra paskirtas) ir / ar Atsakingas už duomenų apsaugą darbuotojas, ir / ar samdomas iš išorės specialistas ar įmonė, atsižvelgdami į Duomenų valdytojo realius poreikius.
128. Darbuotojai, į kurių darbo funkcijas įeina Duomenų valdytojo valdomų internetinių puslapių administravimas, privalo susipažinti ir laikytis minėtuose puslapiuose patalpintų Privatumo taisyklių.
129. Bet kuris darbuotojas, kuris turi įtarimą, jog esamos Bendrovėje techninės ir organizacinės saugumo priemonės neužtikrina duomenų saugumo, apie tai nedelsiant informuoja Duomenų apsaugos pareigūną (jei toks yra paskirtas) ir Duomenų valdytoją.

KOMPIUTERINĖS ĮRANGOS IR PROGRAMŲ NAUDOJIMAS

130. Kompiuterinė įranga gali būti bendrai naudojama visų Duomenų valdytojo Darbuotojų, jų grupės arba priskirta konkrečiam darbuotojui. Kompiuterine įranga, įprastai naudojama konkretaus Darbuotojo, gali pasinaudoti ir kiti Duomenų valdytojo Darbuotojai, jei susiklosčiusios aplinkybės sudaro būtinybę naudotis šia Kompiuterine įranga darbo funkcijų atlikimui.
131. Darbuotojui draudžiama ardyti, išmontuoti ar kitaip keisti kompiuterinę įrangą. Darbuotojui taip pat draudžiama į Kompiuterinę įrangą siųstis, įdiegti programinę įrangą, atidaryti nepaisant draudimo atsisiųstas ir/ar įdiegtas programas.
132. Jeigu elektroninės pašto dėžutės (elektroninio laiško arba laiško prisegtuko) turinys Darbuotojui yra neaiškus, nesuprantamas arba neatsidaro, Darbuotojas privalo nedelsiant kreiptis į Atsakingą asmenį bei nurodyti, kas neaišku, nesuprantama ar neatsidaro.
133. Darbuotojas privalo naudoti Kompiuterinę įrangą atsižvelgdamas į asmens atsakingo už kompiuterių priežiūrą ir/ar Duomenų valdytojo Kompiuterinę įrangą aptarnaujančio paslaugų teikėjo atstovo rekomendacijas bei nurodymus. Apie gedimus ar trikdžius, kurie buvo patirti naudojant Kompiuterinę įrangą, nedelsiant turi būti pranešama.
134. Duomenų valdytojui pareikalavus arba kai darbo sutartis yra nutraukiama (pastaruoju atveju ne vėliau kaip darbo sutarties nutraukimo dieną), Darbuotojas privalo nedelsdamas grąžinti Duomenų valdytojui visą Kompiuterinę įrangą. Įranga ją grąžinant privalo būti geros būklės (atsižvelgiant į normalų nusidėvėjimą), įskaitant ir nematerialų turtą (tame tarpe ir informaciją, susijusią su Kompiuterine įranga arba joje esančią).
135. Naudojantis Kompiuterine įranga Darbuotojams griežtai draudžiama skleisti Duomenų valdytojo konfidencialią informaciją ar komercinę paslaptį internete (elektroniniuose puslapiuose, elektroniniu paštu) ar perduoti tokią informaciją tretiesiems asmenimis, kurie neturi teisės susipažinti su tokia informacija. Bet kokie iš aukščiau nurodytų veiksmų, taip pat tokios informacijos persiuntimas į savo asmeninį el. paštą, tokios informacijos nusikopijavimas asmeninėms reikmėms ar kitoks platinimas neturint Duomenų valdytojo leidimo, laikomas šiurkščiu darbo pareigų pažeidimu.
136. Už kompiuterinės įrangos būklės kontrolę atsakingas Duomenų valdytojo vadovo paskirtas asmuo. Nuomojamos kompiuterinės įrangos priežiūros ir remonto organizavimo tvarka nustatoma šios įrangos nuomos sutartyse.
137. Už Kompiuterinės įrangos kasdienę priežiūrą atsakingas šią įrangą naudojantis Darbuotojas.
138. Kompiuterinės įrangos gedimai šalinami iš karto juos pastebėjus. Darbuotojams, neturintiems reikiamo parengimo, draudžiama bandyti savarankiškai šalinti kompiuterinės įrangos gedimus. Jie turi nedelsiant pranešti apie gedimą / trikdžius Kompiuterinės įrangos priežiūrą atliekančiam asmeniui.
139. Kompiuterinės įrangos draudimą (jei taikoma) ir apžiūrą organizuoja Duomenų valdytojo paskirtas asmuo.
140. Apžiūros metu paskirstas asmuo patikrina kompiuterinės įrangos bei būtinos programinės įrangos veikimą.

ATSAKOMYBĖ

141. Darbuotojams, kurie pažeidžia BDAR, VDAĮ ar kitus teisės aktus, reglamentuojančius Asmens duomenų tvarkymą bei apsaugą, arba Politikoje nurodytas pareigas, taikoma Lietuvos Respublikos teisės aktų nustatyta atsakomybė.

BAIGIAMOSIOS NUOSTATOS

142. Už Politikos patvirtinimą atsakingas Duomenų valdytojo vadovas. Už Politikos, įgyvendinimą, jų vykdymo kontrolę, atnaujinimą, kitų šioje Politikoje įvardintų veiksmų atlikimą yra atsakingas Duomenų apsaugos pareigūnas (jei toks yra paskirtas) ar / ir už duomenų apsaugą Atsakingas Duomenų valdytojo darbuotojas savo kompetencijos ribose.
143. Politika peržiūrima ir gali būti keičiama kartą per kalendorinius metus Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems Asmens duomenų tvarkymą.
144. Politika ir jos pakeitimai įsigalioja nuo jų patvirtinimo dienos. Darbuotojai su Politika ir jos pakeitimais supažindinami pasirašytinai.