BENDROSIOS ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

  1. SUTRUMPINIMAI IR SĄVOKOS

    • Sutrumpinimai:

      • Bendrovė – UAB “TCG TELECOM”, juridinio asmens kodas 304120498, buveinė Perkūnkiemio g. 7, LT-12131, Vilnius, Lietuva.

      • Taisyklės – šios bendrosios asmens duomenų tvarkymo taisyklės.

      • Aprašas – Bendrovės standartinių asmens duomenų tvarkymo procedūrų aprašas.

      • BDAR – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

      • ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

      • ERĮ – Lietuvos Respublikos elektroninių ryšių įstatymas.

      • Bendrovės darbuotojai – Bendrovėje dirbantys asmenys, su kuriais yra sudarytos darbo sutartys, taip pat jiems prilyginami asmenys, veikiantys Bendrovės vardu ir interesais.

      • Bendrovės interneto svetainėtcg.lt.

    • Sąvokos:

      • duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones;

      • duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

      • duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

      • asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Asmens duomenys apima informaciją apie fizinius asmenis, kurie:

        • gali būti (yra) identifikuoti tiesiogiai iš atitinkamos informacijos; arba

        • gali būti netiesiogiai identifikuojami iš turimos informacijos kartu su kita informacija, t. y. skirtingainformacija, kuri surinkta kartu gali atskleisti konkretaus asmens tapatybę. Pastebėtina, kad galimybė nustatyti asmens tapatybę nebūtinai reiškia gebėjimą sužinoti asmens vardą ir pavardę, tačiau asmens tapatybę galima nustatyti panaudojant kitus duomenis, nepaisant to, ar Bendrovė juos turi (pvz., automobilio valstybinis numeris, vaizdo duomenys, telefono ryšio numeris ir kt.).

      • duomenų subjektas – fizinis asmuo, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti;

      • duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

      • pareigybės aprašymas – bet kokie dokumentai (darbo sutartys, pareigybės aprašymai, pareiginiai nuostatai, procedūros, tvarkos, taisyklės ir kiti dokumentai), kuriuose apibrėžiamos darbuotojų darbo pareigos/funkcijos pas darbdavį.

  1. APIMTIS

    • Šių Taisyklių tikslas – reglamentuoti Bendrovės kaip duomenų valdytojo atliekamą duomenų tvarkymą, užtikrinant BDAR, ADTAĮ, ERĮ bei kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

    • Taisyklės nustato Bendrovės kaip duomenų valdytojo teises ir pareigas, asmens duomenų subjektų teisių įgyvendinimo tvarką, kitas taisykles, susijusias su asmens duomenų tvarkymu.

    • Taisyklės taikomos visoje Bendrovėje tiek, kiek Bendrovė duomenų valdytojas.

    • Taisyklės yra sudedamoji Bendrovės standartinių asmens duomenų tvarkymo procedūrų aprašo dalis.

    • Šių Taisyklių privalo laikytis visi Bendrovės darbuotojai, kurie tvarko asmens duomenis arba eidami savo pareigas sužino ar gali sužinoti asmens duomenis.

  2. ASMENS DUOMENŲ TVARKYMO PRINCIPAI

    • Asmens duomenys turi būti:

      • duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

      • renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal BDAR 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

      • adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

      • tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

      • laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal BDAR 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo BDAR siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

      • tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

    • Bendrovės darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, laikydamiesi Taisyklių 3.1 punkte nurodytų principų be kita ko privalo užtikrinti, kad:

      • asmens duomenys būtų renkami apibrėžtais ir teisėtais tikslais bei tvarkomi tik su šiais tikslais suderintais būdais;

      • renkant ir tvarkant asmens duomenis būtų laikomasi tikslingumo ir proporcingumo principų, nereikalaujama iš duomenų subjektų duomenų, kurie nėra reikalingi, taip pat nekaupiami ir netvarkomi pertekliniai duomenys;

      • asmens duomenys būtų tvarkomi tiksliai, sąžiningai, teisėtai, skaidriai. Darbuotojai turi teisę rinkti, perduoti, saugoti, naikinti ar kitaip tvarkyti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašymuose ir/ar vykdydami tiesioginio vadovo ir/ar Bendrovės vadovo pavedimus. Darbuotojams draudžiama savavališkai rinkti, perduoti, saugoti, naikinti ar kitaip tvarkyti asmens duomenis;

      • asmens duomenys būtų tikslūs ir nuolat atnaujinami. Asmens duomenys yra tikslinami, keičiami, papildomi, sunaikinami, o jų tvarkymas sustabdomas duomenų subjekto prašymu ir/ar Bendrovės iniciatyva;

      • taikant atitinkamas technines ar organizacines priemones, būtų siekiama užtikrinti tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo neteisėto duomenų tvarkymo, atsitiktinio ar neteisėto duomenų praradimo, sunaikinimo, pakeitimo, atskleidimo ar sugadinimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

    • Bendrovės darbuotojai, vykdydami savo pareigas ir tvarkydami asmens duomenis arba eidami pareigas sužinoję asmens duomenis:

      • privalo laikytis BDAR, ADTAĮ, ERĮ ir kitų taikytinų teisės aktų reikalavimų;

      • privalo laikytis Bendrovės lokalinių teisės aktų (Aprašo, Taisyklių ir kt.);

      • griežtai laikytis duomenų saugumo reikalavimų;

      • griežtai laikytis konfidencialumo reikalavimų;

      • turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašymuose ir/ar vykdydami tiesioginio vadovo ir/ar Bendrovės vadovo pavedimus ir tik teisės aktų nustatyta tvarka;

      • privalo informuoti Bendrovę (tiesioginį vadovą ir/ar Bendrovės vadovą, taip pat Bendrovės duomenų apsaugos pareigūną ar kitą įgaliotą asmenį) apie pastebėtus galimus duomenų tvarkymo ar su tuo susijusius esamus ar galimus pažeidimus/grėsmes.

    • Darbuotojai, pažeidę Taisykles ir/ar BDAR, ir/ar ADTAĮ, ir/ar ERĮ, ir/ar kitų taikomų teisės aktų reikalavimus, atsako teisės aktų nustatyta tvarka.

    • Bendrovė pasitelkia tik tuos duomenų tvarkytojus, kurie yra įsipareigoję laikytis BDAR, ADTAĮ, ERĮ reikalavimų ir su kuriais yra sudaromos rašytinės sutartys dėl asmens duomenų tvarkymo arba kurie sutiko laikytis Bendrovės nustatytų bendrųjų asmens duomenų tvarkymo reikalavimų, skelbiamų viešai.

  3. ASMENS DUOMENŲ TVARKYMO TIKSLAI, BŪDAI, APIMTYS IR ŠALTINIAI

    • Bendrovė tvarko įvairius asmens duomenis, priklausomai nuo to kokio pobūdžio ir turinio teisiniai santykiai sieja Bendrovę ir duomenų subjektą.

    • Bendrovė asmens duomenis tvarko automatiniu ir neautomatiniu būdu.

    • Bendrovės tvarko asmens duomenis šiais tikslais:

      • užsakymų valdymas;

      • klientų administravimas;

      • produktų ir paslaugų teikimas;

      • produktų ir paslaugos kokybės užtikrinimas;

      • incidentų ir problemų valdymas;

      • sąskaitų išrašymas ir mokėjimai;

      • ryšio perdavimas;

      • elektroninių ryšių tinklų ir paslaugų saugumas;

      • techninių gedimų ir klaidų nustatymas elektroninių ryšių tinkle;

      • mokėjimų skaičiavimas;

      • sukčiavimo, nesąžiningo naudojimo prevencija;

      • rinkodara, tiesioginė rinkodara;

      • personalizuotos paslaugos;

      • privalomas asmens identifikavimas;

      • privalomas paslaugų kokybės užtikrinimas;

      • privalomas duomenų tvarkymas siekiant užtikrinti, kad jie būtų prieinami teisėsaugos institucijoms, skubios pagalbos paslaugų teikimui;

      • pranešimas apie duomenų saugumo pažeidimus;

      • teismų procesinių sprendimų vykdymas;

      • privaloma tinklo ir duomenų saugumo stebėsena;

      • numerio perkėlimo užtikrinimas;

      • apskaita;

      • pranešimų, ataskaitų teikimas institucijoms;

      • taip pat kitais tikslais, nurodytais šiose Taisyklėse.

    • Bendrovės tvarkomų asmens duomenų kategorijos:

      • Pagrindiniai asmens duomenys:

        • asmens identifikavimo duomenys (vardas, pavardė, asmens kodas, gimimo data, asmens patvirtinančio dokumento (paso, asmens tapatybės kortelės) duomenys);

        • kontaktiniai duomenys (vardas, pavardė, telefono numeris, el. pašto adresas, adresas (prekių pristatymo, paslaugų įrengimo, sąskaitų siuntimo ir pan.);

        • informacija, susijusi su prekių ir (ar) paslaugų užsakymu ir teikimu, sudaryta sutartimi, įsigyta ir (ar) naudojama įranga (vardas, pavardė, adresas (prekių pristatymo, paslaugų įrengimo, sąskaitų siuntimo ir pan.), telefono numeris, el. pašto adresas, paslaugų gavėjo numeris, užsakytos paslaugos ir su jų teikimu susijusi informacija (įskaitant mokėjimo planus), prekių ir (ar) paslaugų sutarties data, numeris bei kiti duomenys, prekių ir (ar) paslaugų įsigijimo bei ir (ar) teikimo pradžios data, pabaigos data, trukmė, statusas, informacija apie įsigytą ir (ar) naudojamą įrangą, domenas (kai teikiamos interneto svetainių prieglobos paslaugos), SIM kortelės numeris, judriojo ryšio abonento identifikatorius (IMSI), PIN ir PUK kodai, MAC, IP adresas, įrangos pavadinimas, modelis, numeris, tarptautinis judriojo ryšio įrangos identifikavimo numeris (IMEI), informacija apie įrangos techninę priežiūrą ir (ar) aptarnavimą);

        • duomenų subjekto sutikimai, nesutikimai (informacija apie Bendrovei pateiktus sutikimus, jų atšaukimą, nesutikimų pateikimą);

        • duomenų subjekto profiliai (duomenų subjekto profiliai, kurie buvo sukurti Bendrovei vykdant profiliavimo veiklą (jeigu tokia vykdoma));

        • vaizdo duomenys (vaizdo duomenys gali būti užfiksuoti Bendrovės įrengta vaizdo stebėjimo įranga, kai duomenų subjektas lankosi Bendrovės salonuose (jeigu galima asmenį identifikuoti));

        • duomenų subjekto komunikacija su Bendrove (telefoninių pokalbių įrašai: skambučio data, laikas, trukmė, telefono numeris, telefoninio pokalbio įrašas ir duomenys pateikti telefoninio pokalbio metu, kurie gali būti užfiksuoti kai duomenų subjektas skambina į Bendrovės klientų aptarnavimo centrą ar atsiliepia į Bendrovės darbuotojų skambučius. Susirašinėjimas su duomenų subjektu el. paštu: el. laiškai, jų data bei turinys);

        • informacija apie blokuotus tarptautinius judriojo ryšio įrangos identifikatorius (IMEI) (tarptautinis judriojo ryšio įrangos identifikatorius (IMEI), jo blokavimo statusas, telefono aparato modelis, modelio pagaminimo data, blokavimo pagrindas, operatorius, blokavimo šalis);

        • kita informacija apie asmenį (amžius, lytis, asmens nurodyta komunikacijos kalba, priklausymas socialiai remtinų asmenų grupei ar pensininko kategorijai ir pan.).

      • Srauto duomenys (duomenys, kurie generuojami naudojantis ryšio priemonėmis ir Bendrovės paslaugomis, būtini siekiant perduoti informaciją elektroninių ryšių tinklu ir (arba) tokio perdavimo apskaitai):

        • ryšio pradžios ir pabaigos data, laikas, trukmė ir maršrutas;

        • duomenų perdavimo protokolas;

        • sujungimo data, laikas, sujungimo metu naudotas IP adresas, tikslo IP adresas, siųstų duomenų kiekis;

        • naudotojo galinio įrenginio geografinė buvimo vieta;

        • trumpojo pranešimo (SMS) siuntimo data, laikas, siuntimo žyma.

      • Vietos nustatymo duomenys, kurie nėra srauto duomenys;

      • Komunikacijos turinio duomenys;

      • Slapukų surinkti duomenys.

    • Bendrovės tvarkomų asmens duomenų kategorijos ir tikslai, nurodyti šių Taisyklių 3-4.4 punktuose yra pavyzdiniai. Tikslūs asmens duomenys, jų tvarkymo tikslai ir kitos sąlygos detalizuojamos atskirose asmens duomenų tvarkymo politikose.

    • Jeigu kitaip nenurodyta atskirose asmens duomenų tvarkymo politikose, asmens duomenys gaunami tiesiogiai iš duomenų subjekto. Asmens duomenys saugomi Bendrovės duomenų bazėse ir jeigu įmanoma, tai kiekvienam asmens duomenų subjektui sukurtoje aktyvacijoje,

  4. DUOMENŲ SUBJEKTO TEISĖS

    • Bendrovė rinkdama asmens duomenis, duomenų subjektui privalo pateikti tokią informaciją: savo rekvizitus, kokiais tikslais tvarkomi duomenų subjekto asmens duomenys, kam ir kokiais tikslais jie teikiami, kokius savo asmens duomenis duomenų subjektas privalo pateikti.

    • Duomenų subjektas savo teises įgyvendina teisės aktų nustatyta tvarka. Duomenų subjektas turi šias teises:

      • susipažinti su savo asmens duomenimis ir jų tvarkymo tvarka;

      • reikalauti ištaisyti neteisingus, neišsamius, netikslius jo asmens duomenis;

      • reikalauti ištrinti jo asmens duomenis („teisė būti pamirštam“);

      • reikalauti apriboti asmens duomenų tvarkymą, išskyrus saugojimą;

      • nesutikti, kad būtų tvarkomi asmens duomenys;

      • reikalauti perkelti duomenis kitam duomenų valdytojui arba pateikti tiesiogiai duomenų subjektui patogia forma (tuos duomenis, kuriuos duomenų subjektas pats pateikė Bendrovei);

      • reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir toks sprendimas būtų peržiūrėtas;

      • bet kada atšaukti Bendrovei duotus sutikimus.

    • Duomenų subjektas dėl savo teisių įgyvendinimo, gali kreiptis į Bendrovę pateikiant prašymą el. paštu info@tcg.lt arba Bendrovės buveinės adresu.

    • Bendrovė ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą. Šis laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Bendrovė per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

    • Jei Bendrovė nesiima veiksmų pagal duomenų subjekto prašymą, ji nedelsdama, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai (Valstybinei duomenų apsaugos inspekcijai) bei pasinaudoti teisių gynimo priemone.

    • Duomenų subjekto prašymai, susiję su jo teisių įgyvendinimu pagal BDAR nuostatas, nagrinėjami nemokamai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Bendrovė:

      • ima pagrįstą mokestį, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba

      • atsisako imtis veiksmų pagal prašymą.

    • Bendrovės darbuotojai turi užtikrinti, kad duomenų subjekto teisės būtų tinkamai įgyvendintos ir visa reikalinga informacija jam būtų pateikiama aiškiai, suprantamai bei priimtina forma.

    • Duomenų subjektų teisės įgyvendinimo procedūra detalizuota Bendrovės patvirtintoje Duomenų subjekto teisių įgyvendinimo tvarkoje. Ši tvarka skelbiama Bendrovės interneto svetainėje.

  5. PRIEIGA PRIE ASMENS DUOMENŲ

    • Bendrovėje prieiga prie asmens duomenų suteikiama, modifikuoja ir naikinama vadovaujantis Bendrovėje galiojančiais Informacijos saugumo nuostatais bei kitais Bendrovės vidaus dokumentais.

    • Su asmens duomenų tvarkymu susiję vaidmenys ir atsakomybės turi būti aiškiai apibrėžti ir paskirstyti.

    • Kiekvienam vaidmeniui, susijusiam su asmens duomenų tvarkymu, priskiriamos konkrečios prieigos kontrolės teisės, vadovaujantis „būtina žinoti“ (angl. need to know) principu, t. y. kiekvienam vaidmeniui ar naudotojui turėtų būti suteiktas tik toks asmens duomenų prieinamumo lygis, kuris yra būtinas jo užduotims atlikti.

  6. ASMENS DUOMENŲ SAUGUMAS

    • Asmens duomenų saugumas apima tris pagrindinius aspektus:

      • duomenų konfidencialumą – apsaugą nuo nesankcionuoto atskleidimo;

      • duomenų vientisumą – apsaugą nuo nesankcionuoto ar atsitiktinio pakeitimo;

      • Duomenų prieinamumą – užtikrinimą, kad informacija prieinama tada, kai ji yra reikalinga.

    • Asmens duomenų saugumo tikslas – užtikrinti tinkamą ir efektyvų asmens duomenų saugumo valdymą ir išvengti veiklos sutrikdymo dėl duomenų konfidencialumo, vientisumo bei prieinamumo pažeidimų. Kiti informacijos saugumo tikslai gali būti nustatomi Bendrovės vertinamosios analizės metu.

    • Reikalavimai asmens duomenų saugumui ir jų vykdymo tvarka nustatomi Bendrovės Informacijos saugumo nuostatuose bei kituose vidaus dokumentuose;

      • vadovaujantis Bendrovės veiklos tikslais ir veiklos reikalavimais;

      • vertinant asmens duomenų saugumo riziką;

      • vadovaujantis suinteresuotų šalių keliamais reikalavimais bei lūkesčiais, išreikštais asmens duomenų saugą reglamentuojančiuose teisės aktuose, duomenų teikimo ar kitokio pobūdžio sutartyse, išoriniais ir vidiniais informacijos keitimosi būdais (raštais, elektroniniais laiškais ir pan.);

    • Bendrovės tvarkomų asmens duomenų saugumo reikalavimų įgyvendinimas užtikrinamas nuosekliai planuojant, įgyvendinant, vertinant ir tobulinant asmens duomenų saugumo valdymo sistemą.

    • Bendrovė įsipareigoja:

      • atsižvelgdama į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

        • pseudonimų suteikimą asmens duomenims ir jų šifravimą;

        • gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

        • gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

        • reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

      • Imtis priemonių, siekdama užtikrinti, kad bet kuris pavaldus asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai Bendrovė duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal teisės aktų reikalavimus.

      • nustatyti asmens duomenų saugumo valdymo tikslus;

      • laikytis visų asmens duomenų saugumo įsipareigojimų, reglamentuotų Lietuvos Respublikos teisės aktuose ir sutartyse;

      • sudaryti sąlygas Bendrovės darbuotojams tobulinti žinias informacijos saugumo srityje;

    • Bendrovė nuolat gerina asmens duomenų saugumo rezultatyvumą, įgyvendinama asmens duomenų saugumo politiką ir tikslus, atlikdama vidaus auditus, nustatydama neatitiktis, vykdydama korekcinius veiksmus ir atlikdama vertinamąją analizę.

    • Asmens duomenų ir jų tvarkymo saugumas turi būti dokumentuotas Bendrovės Informacijos saugumo nuostatuose ir/ar kituose vidaus dokumentuose.

    • Remiantis bendrąja asmens duomenų saugos politika Bendrovės Informacijos saugumo nuostatuose ir/ar kituose vidaus dokumentuose numatomos specifinės tvarkos ir procedūros, susijusios su asmens duomenų apsauga (pvz., prieigos kontrolės, įrenginių valdymo, išteklių valdymo ir kt.).

    • Asmens duomenų saugumo politika, tame tarpe iš šios Taisyklės bei Informacijos saugumo nuostatai, turi būti peržiūrimi ir prireikus atnaujinami ne rečiau kaip kartą per metus.

  7. VAIDMENYS IR ATSAKOMYBĖS

    • Su asmens duomenų tvarkymu susiję Bendrovės darbuotojų vaidmenys ir atsakomybės atskirai apibrėžiamos ir paskirstomos Bendrovės Informacijos saugumo nuostatuose ar kituose vidaus dokumentuose.

    • Bendrovės darbuotojams, kurie gali susipažinti su asmens duomenimis, draudžiama tvarkyti asmenis duomenis, išskyrus atvejus, kai Bendrovė duoda aiškius nurodymus juos tvarkyti, o jų nesant – galima tvarkyti asmens duomenis tik įgyvendinant teisės aktų reikalavimus.

    • Bendrovės darbuotojai, vykdydami savo pareigas ir tvarkydami asmens duomenis arba eidami pareigas sužinoję asmens duomenis privalo laikytis Taisyklių 3 punkte nurodytų reikalavimų.

    • Bendrovės darbuotojai, atliekantis Bendrovės sistemose ar taikomose procedūrose keitimus, susijusius su asmens duomenų tvarkymu, privalo įvertinti, ar nereikalinga atlikti šių Taisyklių ar kitų Bendrovės vidaus dokumentų, susijusių su asmens duomenų tvarkymų, pakeitimų, o nustačius, jog reikia – parengti šių dokumentų projektus ir juos pateikti tiesioginiam vadovui. Bendrovės sistemų ar procedūrų pakeitimai, susiję su asmens duomenų tvarkymu, gali būti pradėti taikyti tik nuo to momento, kai įsigalioja šių Taisyklių ar kitų Bendrovės vidaus dokumentų, susijusių su asmens duomenų tvarkymu, pakeitimai.

  8. ASMENS DUOMENŲ SAUGUMO INCIDENTŲ VALDYMAS

    • Asmens duomenų saugumo incidentu yra laikomas toks asmens duomenų saugumo pažeidimas, dėl kurio tyčia ar netyčia būtų:

      • sunaikinti, prarasti ar pakeisti Bendrovės tvarkomi asmens duomenys;

      • be Bendrovės leidimo atskleisti asmens duomenys;

      • be Bendrovės leidimo asmenys, neturintys tam teisės, gautų prieigą prie asmens duomenų.

    • Saugumo pažeidimų valdymo ir reagavimo į šiuos pažeidimus tvarka nustatyta Informacijos saugumo nuostatuose.

    • Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Bendrovė nepagrįstai nedelsdama raštu praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui, kaip nurodyta BDAR 34 straipsnyje. Nesant galimybės informuoti visus duomenų subjektus dėl jų didelio kiekio ar kitų priežasčių, Bendrovė gali priimti sprendimą šią informaciją paskelbti per visuomenės informavimo priemones (spaudą, televiziją, įmonės internetinį puslapį ir kt.);

  9. DUOMENŲ SUNAIKINIMAS

    • Asmens duomenis Bendrovė sunaikina pasibaigus jų saugojimo terminui arba asmens duomenų subjekto prašymu.

    • Asmens duomenys sunaikinami ištrinant juos iš duomenų bazės bei iš atsarginės kopijos, daromos elektronine forma automatiniu būdu kopijuojant asmens duomenis į archyvą, saugomą tarnybinėje stotyje.

    • Popierinės formos dokumentus ir jų kopijas, kuriose nurodomi asmens duomenys, rankiniu būdu sunaikina įgaliotas Bendrovės darbuotojas tokiu būdu, kad vėliau jų nebūtų galima atkurti ir atpažinti jų turinio.

  10. BAIGIAMOSIOS NUOSTATOS

    • Bendrovės darbuotojai su šiomis Taisyklėmis supažindinami pasirašytinai.

    • Bendrovės darbuotojams ne rečiau kaip kartą per metus pasirinktinai yra rengiami mokymai, informavimo renginiai ar instruktažai dėl įmonėje keliamų asmens duomenų apsaugos reikalavimų.

    • Šios Taisyklės peržiūrimos, tikslinamos ir atnaujinamos keičiantis teisės aktams, Bendrovei diegiant struktūrinius, technologinius ar kitokius pakeitimus, kurie turi ar gali turėti įtakos asmens duomenų tvarkymui, ir kitais būtinais atvejais, tačiau bet kokiu atveju ne rečiau kas 1 (vienerius) metus.