UAB „FOUR SOULS“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS 

BENDROSIOS NUOSTATOS

 

 1. UAB „Four souls“ asmens duomenų tvarkymo taisyklės (toliau — Taisyklės) reglamentuoja fizinių asmenų (toliau – Duomenų subjektas) asmens duomenų tvarkymą, užtikrinant Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių asmens duomenų saugumą, laikymąsi, reglamentuoja pagrindinius asmens duomenų rinkimo, tvarkymo ir saugojimo principus bei tvarką, kuria remdamasis Duomenų valdytojas tvarko asmens duomenis, taip pat nustato asmens duomenų tvarkymo tikslus, Duomenų subjektų teises ir jų įgyvendinimo tvarką, Duomenų valdytojo ir Duomenų tvarkytojo teises ir pareigas, įtvirtina organizacines ir technines duomenų apsaugos priemones.

 2. Šios Taisyklės parengtos remiantis:

  1. Europos Sąjungos Bendruoju duomenų apsaugos reglamentu (toliau – BDAR);

  2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ);

  3. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;

  4. Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu „Dėl asmens duomenų valdytojų valstybės registro reorganizavimo, registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“;

  5. kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

 3. Taisyklėse vartojamos sąvokos atitinka BDAR, ADTAĮ vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ taikymo srities bei prieštarauti ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

 4. Šios Taisyklės taikomos tvarkant Duomenų subjekto duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: klientų sveikatos patikrinimo istorijas, ambulatorines korteles, sąvadus ir kita. 

 5. Šių Taisyklių reikalavimai privalomi visiems Duomenų valdyotojo ir Duomenų tvarkytojo darbuotojams (toliau – Darbuotojai), kurie tvarko Duomenų valdytojo valdomus asmens duomenis arba eidami savo pareigas juos sužino.

 

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

 

 1. Asmens duomenys tvarkymo principai:

  1. Duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

  2. renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);

  3. adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

  4. tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

  5. laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui,  įgyvendinus atitinkamas technines ir organizacines priemones (saugojimo trukmės apribojimo principas);

  6. tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

  7. Duomenų valdytojas atsako už tai, kad būtų laikomasi nurodytų principų, ir turi visas reikiamas priemones įrodyti, kad jų laikomasi (atskaitomybės principas). 

 2. Atsižvelgiant į saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, UAB „FOUR SOULS“ įgyvendinamos organizacinės ir techninės priemonės, atitinkančios nustatytą tvarkomų asmens duomenų saugumo lygį.

 3. UAB „FOUR SOULS“ duomenų subjektų asmens duomenys tvarkomi tikslais:

  1. darbo sutarčių sudarymo, vykdymo ir apskaitos;

  2. UAB „FOUR SOULS“ kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamam vykdymui;

  3. tinkamai komunikacijai su darbuotojais ne darbo metu palaikyti;

  4. tinkamoms darbo sąlygoms užtikrinti;

  5. UAB „FOUR SOULS“ teikiamoms paslaugoms vykdyti;

  6. UAB „FOUR SOULS“ darbo apskaitai vykdyti;

  7. UAB „FOUR SOULS“ ataskaitų rengimui.

 4. Darbo sutarčių sudarymo, vykdymo ir apskaitos tikslais yra tvarkomi darbuotojų vardai ir pavardės, gyvenamosios vietos adresai, gimimo datos, elektroninio pašto adresai, telefonų numeriai, banko sąskaitų numeriai (darbuotojui sutikus), į kurias yra vedamas darbo užmokestis.

 5. Įstaigos kaip darbdavio pareigų, nustatytų teisės aktuose, tinkamo vykdymo tikslu yra tvarkomi darbuotojų asmens kodai, informacija apie darbuotojų šeiminę padėtį.

 6. Tinkamos komunikacijos su darbuotojais ne darbo metu tikslu su darbuotojų sutikimu yra tvarkomi darbuotojų gyvenamosios vietos adresai, asmeniniai telefono numeriai, asmeniniai elektroninio pašto adresai.

 7. Tinkamų darbo sąlygų užtikrinimo tikslu Įstaiga su darbuotojo sutikimu tvarko informaciją, susijusią su darbuotojo sveikatos būkle, kuri tiesiogiai daro įtaką darbuotojo darbo funkcijoms ir galimybei jas vykdyti teisės aktų nustatyta tvarka.

 8. Už Duomenų subjektų duomenų atnaujinimą padaliniuose, kuriuose renkami ir tvarkomi Duomenų subjekto duomenys, atsako padalinių vadovai.

 9. Atsiradus naujam ar pasikeitus esamam asmens duomenų tvarkymo poreikiui ir / ar tvarkomų asmens duomenų apimčiai, vertinama asmens duomenų tvarkymo atitiktis nustatytiems asmens duomenų tvarkymo principams. Patvirtinus asmens duomenų tvarkymo pokytį, tikslinami asmens duomenų tvarkymo veiklos įrašai.

 10. Asmens duomenų tvarkymo pagrindai:

  1. Teisė – asmens duomenys tvarkomi pagal UAB „FOUR SOULS“ nustatytas teisės aktais pareigas (darbo teisės įstatymai, mokesčių įstatymai, dokumentų saugojimo tvarkos, sveikatos priežiūros paslaugos ir kt.); 

  2. Sutikimas – asmens duomenys tvarkomi pagal atitinkamo Duomenų subjekto pateiktą sutikimą, kuriame nurodoma teikiamų asmens duomenų apimtis, tvarkymo terminas; 

  3. Verslo komunikacijos pagrindu – pagal sutartis su klientais, partneriais tvarkomi iš klientų, partnerių gauta jų darbuotojų asmens duomenys, kai dėl tokių asmens duomenų suteikimo darbuotojai yra davę sutikimus savo darbdaviams

  4. Sutartis – asmens duomenys tvarkomi pagal UAB „FOUR SOULS“ ir Duomenų subjekto pasirašytą sutartį;

  5. Teisėtas interesas – asmens duomenys tvarkomi siekiant apsaugoti UAB „FOUR SOULS“, jos darbuotojų ir Klientų turtą;

  6. Gyvybinis interesas – asmens duomenys tvarkomi siekiant apsaugoti gyvybinius Duomenų subjekto ar kito fizinio asmens interesus.

 11. Asmens duomenų tvarkymo sutikimai:

  1. Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas registruoja atskirame Sutikimų registre gautus sutikimus tam, kad galėtų įrodyti, kad duomenų subjektas davė sutikimą jo asmens duomenų tvarkymui.

  2. Jeigu duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

  3. Rašytiniai sutikimai registruojami rašytinių sutikimų registracijos žurnale.

  4. Elektroniniu būdu pateikti sutikimai registruojami IT sistemoje.

  5. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti.

  6. Duomenys, tvarkomi sutikimo pagrindu, turi būti sunaikinti pasibaigus sutikime nurodytam terminui arba duomenų subjektui pareiškus prašymą nutraukti jo duomenų tvarkymą, nebent duomenys saugomi teisės aktų pagrindu teisės aktų nustatytą terminą.

  7. Darbuotojo ar jo šeimos nario sutikimai tvarkyti asmens duomenis, saugomi kartu su darbuotojo byla. 

III SKYRIUS

DUOMENŲ VALDYTOJO IR TVARKYTOJO FUNKCIJOS, TEISĖS IR

PAREIGOS

 

 1. Duomenų valdytojas – UAB „FOUR SOULS“, Liepų g. 21, Klaipėda, įmonės kodas 302732379.

 2. UAB „FOUR SOULS“, kaip Duomenų valdytojas, vykdo šias funkcijas:

  1. nustato asmens duomenų tvarkymo tikslus ir priemones;

  2. užtikrina, kad asmens duomenys būtų tvarkomi laikantis BDAR ir ADTAĮ numatytų asmens duomenų tvarkymo reikalavimų;

  3. užtikrina BDAR ir ADTAĮ nustatytų techninių ir organizacinių priemonių įgyvendinimą;

  4. užtikrina BDAR ir ADTAĮ numatytų duomenų subjekto teisių įgyvendinimą ir vykdo kitas ADTAĮ, Bendruosiuose reikalavimuose ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;

  5. pagal poreikį gali pasitelkti kitus duomenų tvarkytojus asmens duomenų tvarkymui;

  6. kontroliuoja, kaip duomenų tvarkytojai tvarko asmens duomenis;

  7. atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą;

  8. prireikus atlieka peržiūrą, kad įvertintų, ar duomenys tvarkomi laikantis poveikio duomenų apsaugai vertinimo, bent tais atvejais, kai pakinta tvarkymo operacijų keliamas pavojus;

  9. prieš pradėdamas tvarkyti duomenis, konsultuojasi su priežiūros institucija, jeigu poveikio duomenų apsaugai vertinime nurodyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti;

  10. ne rečiau kaip kartą per 2 metus peržiūri Taisyklėse nustatytus reikalavimus ir, jei reikia, inicijuoja Taisyklių pakeitimus.

 3. Duomenų tvarkytojas – UAB „FOUR SOULS“, Liepų g. 21, Klaipėda, įmonės kodas 302732379.

 4. UAB „FOUR SOULS“, Duomenų tvarkytojas, atlieka šias funkcijas:

  1. tvarko asmens duomenis pagal nustatytus tikslus ir vadovaujantis nustatytais asmens duomenų apsaugos principais;

  2. tvarkydama asmens duomenis statistikos tikslais, juos nuasmenina;

  3. asmens duomenis tvarko tiksliai, jei reikia, juos nuolat atnaujina, ištaiso ar papildo netikslius ar neišsamius asmens duomenis ir (ar) sustabdo tokių asmens duomenų tvarkymą, išskyrus saugojimą;

  4. nustato (patikslina) ir patvirtinta sąrašą pareigų, kurias einantys asmenys yra įgalioti tvarkyti asmens duomenis, ir prie kiekvieno pareigų pavadinimo, nurodo duomenų valdytojo nustatytą asmens duomenų tvarkymo tikslą;

  5. užtikrina, kad asmens duomenis tvarkytų tik tinkamai tam įgaliotieji asmenys (funkcija(-os) turi būtų nurodyta(-os) pareiginiuose nuostatuose (pareigybės aprašyme) arba asmuo įsakymu turi būti paskirtas atlikti nenuolatinio pobūdžio užduotį(-is), kuriai(-as) vykdyti reikia tvarkyti asmens duomenis);

  6. kontroliuoja kaip įgalioti asmenys tvarko asmens duomenis;

  7. užtikrina, kad Įstaigos darbuotojai, jų įdarbinimo metu, pasirašytinai susipažintų su informacija apie darbuotojų tvarkomus asmens duomenis, kuris saugomas asmens byloje visą darbo laiką ir pasibaigus darbo santykiams;

  8. užtikrina, kad įgaliotieji asmenys susipažintų su Taisyklėmis ir pasirašytų Pasižadėjimą saugoti duomenų paslaptį, kuris saugomas asmens byloje visą darbo laiką ir pasibaigus darbo santykiams;

  9. užtikrina duomenų subjekto teisių įgyvendinimą BDAR, ADTAĮ ir kitų teisės aktų nustatyta tvarka;

  10. nustačius asmens duomenų tvarkymo pažeidimą, imasi veiksmų teisės aktų nustatyta tvarka drausmės pažeidimui ištirti, taip pat apie asmens duomenų saugumo pažeidimą reikiamais atvejais informuoja įgaliotąją priežiūros instituciją – Valstybinę asmens duomenų apsaugos inspekciją ir duomenų subjektą, imasi priemonių pažeidimu padarytai žalai sumažinti ar gresiančiai žalai užkirsti kelią;

  11. duomenų subjektams informavus apie pasikeitusius jų asmens duomenis, nedelsiant ištaisyti ar sunaikinti asmens duomenis ir informuoti duomenų subjektą apie jo prašymu atliktus arba neatliktus veiksmus;

  12. asmens duomenis tvarkyti tik tokios apimties, kuri būtina jiems tvarkyti ir vykdomai funkcijai atlikti;

  13. asmens duomenis tvarkyti taip, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, vėliau šie duomenys privalo būti sunaikinti, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti saugomi;

  14. LR įstatymų nustatyta tvarka teikti duomenis valstybės institucijoms.

  15. Duomenų tvarkytojai duomenis tvarko pagal pasirašytą duomenų tvarkymo sutartį, kuri gali būti teikiamų paslaugų sutarties dalis. Duomenų tvarkytojai netenka teisės tvarkyti asmens duomenis, kai nutraukiama sutartis su Įstaiga dėl duomenų tvarkymo.

 

 

  IV.SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

 

 1. Duomenų subjektai turi teisę:

  1. žinoti apie savo asmens duomenų rinkimą – asmuo privalo būti informuotas, kokius asmens duomenis turi pateikti, kokiu tikslu jie renkami, kam ir kokiu tikslu jie gali būti teikiami ir kokios asmens duomenų nepateikimo pasekmės;

  2. susipažinti su surinktais savo asmens duomenimis ir kaip jie tvarkomi – turi teisę prašyti pateikti informaciją apie tai, kokie ir kokiu tikslu jo asmens duomenys yra tvarkomi;

  3. reikalauti ištaisyti, patikslinti ar papildyti neteisingus ar neišsamius jo asmens duomenis, sunaikinti savo asmens duomenis arba sustabdyti savo asmens duomenų tvarkymą;

  4. nesutikti, kad būtų tvarkomi darbuotojo tam tikri neprivalomi jo asmens duomenys;

  5. pateikti skundą priežiūros institucijai;

 2. Kai iš Duomenų subjekto renkami jo asmens duomenys, Duomenų valdytojas asmens duomenų gavimo metu Duomenų subjektui pateikia visą šią informaciją:

  1.     16.1.Duomenų valdytojo ir, jeigu taikoma, Duomenų valdytojo atstovo tapatybę ir kontaktinius duomenis;

  2.     16.2.Duomenų apsaugos pareigūno, kontaktinius duomenis;

  3.     16.3.Duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

  4.     16.4.jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;

  5.     16.5.kai taikoma, apie Duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą, arba BDAR 46 ar 47 straipsniuose arba 49 straipsnio 1 dalies antroje pastraipoje nurodytų perdavimų atveju – tinkamas arba pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;

 3. Be Taisyklių 15 punkte nustatytų Duomenų valdytojas asmens duomenų gavimo metu Duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

  1.     17.1.asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;

  2.     17.2.teisę prašyti, kad Duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;

  3.     17.3.kai duomenų tvarkymas grindžiamas sutikimu, teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;

  4.     17.4.teisę pateikti skundą priežiūros institucijai;

  5.     17.5.tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes.

 4. Jeigu Duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis Duomenų valdytojas pateikia Duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta Taisyklių 21 ir/ar 24 punkte.

 5. Kai asmens duomenys yra gauti ne iš Duomenų subjekto, Duomenų valdytojas pateikia duomenų subjektui šią informaciją:

  1.     19.1.Taisyklių 20.1-20.5 papunkčiuose nustatytą informaciją;

  2.     19.2.atitinkamų asmens duomenų kategorijas.

 6. Be Taisyklių 15 punkte nurodytos informacijos, Duomenų valdytojas pateikia Duomenų subjektui toliau nurodytą papildomą informaciją, būtiną tvarkymo sąžiningumui ir skaidrumui Duomenų subjekto atžvilgiu užtikrinti:

  1.     20.1.Taisyklių 15.1-15.5 papunkčiuose nustatytą informaciją;

  2.     20.2.koks yra asmens duomenų kilmės šaltinis, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių.

 7. Duomenų valdytojas Taisyklių 15 ir 16 punktuose nurodytą informaciją pateikia:

  1.     21.1.per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

  2.     21.2.jeigu asmens duomenys bus naudojami ryšiams su Duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo Duomenų subjektu; arba

  3.     21.3.jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

 8. Taisyklių 15-19 punktai netaikomi, jeigu Duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi, taip pat kitais BDAR nustatytais atvejais.

 9. Duomenų valdytojas užtikrina, kad Duomenų subjektams įgyvendinant savo teisę į duomenų perkeliamumą, perkeliami tik tie duomenys, kurie tvarkomi sutarties arba sutikimo pagrindu ir yra tvarkomi automatizuotomis priemonėmis. Tokiu atveju asmens duomenys duomenų subjektui būtų pateikiami susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.

 10. Duomenų subjektas turi teisę kreiptis į UAB „FOUR SOULS“ raštu ar registruotu paštu, elektroniniu paštu nurodant savo vardą, pavardę, pareigas. UAB „FOUR SOULS“ darbuotojas registruotu paštu ar el. paštu gavęs prašymą pateikti informaciją apie Duomenų subjekto tvarkomus duomenis, privalo susisiekti su Duomenų subjektu ir įsitikinti, kad tikrai Duomenų subjektas pateikė prašymą pateikti informaciją.

 11. Duomenų valdytojas, gavęs prašymą panaikinti duomenų tvarkymą, kurie tvarkomi su Duomenų subjekto sutikimu, per 20 darbo dienų panaikina tvarkomus duomenis ir apie tai informuoja Duomenų subjektą.

 12. Duomenų valdytojas užtikrina, kad Duomenų subjektui sudaromos visos sąlygos įgyvendinti visas Taisyklėse ir Lietuvos Respublikos ar Europos Sąjungos teisės aktuose nustatytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

 13. Duomenų valdytojas užtikrina, kad visa reikalinga informacija duomenų subjektui būtų pateikiama aiškiai ir suprantamai.

 14. Duomenų valdytojas Duomenų subjektui atsakymą pateikia ne vėliau kaip per 20 darbo dienų nuo prašymo gavimo dienos. Jei duomenis teikti Duomenų subjektui atsisakoma, jam turi būti pateiktas motyvuotas ir pagrįstas atsakymas dėl jo prašymo nevykdymo. 

 15. Duomenų valdytojas ne vėliau kaip per 5 dienas informuoja duomenų gavėjus apie Duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). 

 16. Duomenų valdytojas duomenis Duomenų subjektui teikia neatlygintinai. Tam tikrais atvejais (kai Duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai pakartotinai teikia prašymus pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimas Duomenų subjektui gali būti apmokestintas sutinkamai su teisės aktų reikalavimais ir Duomenų valdytojo nustatytais įkainiais.

 17. UAB „FOUR SOULS“ padaliniai, kuriuose renkami ir tvarkomi Duomenų subjekto duomenys, privalo sudaryti sąlygas Duomenų subjektui įgyvendinti pirmiau nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veiklų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitu asmenų teisių ir laisvių apsaugą.

 18. Duomenų subjekto teisė susipažinti su savo tvarkomais duomenimis UAB „FOUR SOULS“ įgyvendinama šia tvarka:

  1. Duomenų subjektas pateikia prašymą;

  2. prašymas užregistruojamas Registravimo žurnale;

  3. prašymas UAB „FOUR SOULS“ direktoriaus nukreipiamas atsakingam asmeniui;

  4. išduodama pažyma apie darbuotojo tvarkomus asmens duomenis.

 19. Darbuotojas tiesiogiai gavęs Duomenų subjekto prašymą pateikti informaciją apie Duomenų subjekto tvarkomus asmens duomenis, jį perduoda registruoti atsakingam asmeniui ir nesiima jokių informacijos pateikimo veiksmų iki tol, kol negautas UAB „FOUR SOULS“ direktoriaus nurodymas pateikti informaciją.

 

V SKYRIUS

ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS

PRIEMONĖS

 

 1. UAB „FOUR SOULS“ organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti pakankamą asmens duomenų saugumo lygį.

 2. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:

  1. UAB „FOUR SOULS“ direktoriaus įsakymu paskiriamas Duomenų apsaugos pareigūnas, Saugos įgaliotinis ir informacinės sistemos administratorius;

  2. tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonių. Už priemonių įgyvendinimą ir priežiūrą atsako UAB „FOUR SOULS“ direktorius ar trečioji šalis, su kuria pasirašyta informacinių technologijų priežiūros sutartis;

  3. griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis. Už priemonės įgyvendinimą ir priežiūrą atsako darbo saugos specialistas;

  4. tinkamas darbo organizavimas ir kitos administracinės priemonės;

 3. Duomenų valdytojas ir duomenų tvarkytojai privalo užtikrinti UAB „FOUR SOULS“ informacinės sistemos saugos dokumentuose nustatytus organizacinius ir techninius kibernetinio saugumo reikalavimus.

 4. Siekiant užtikrinti asmens duomenų saugumą, UAB „FOUR SOULS“ taikomas visas užtikrinimo veiksmų ciklas:

  1. Asmens duomenų saugumo prevencija;

  2. Asmens duomenų saugumo situacijos stebėsena;

  3. Asmens duomenų saugumo pažeidimų atpažinimas;

  4. Asmens duomenų saugos pažeidimų valdymas;

  5. Priežasčių, dėl kurių įvyko asmens duomenų saugos pažeidimai, šalinimas;

  6. Darbuotojų švietimas.

 

VI SKYRIUS

ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

 

 1. Tais atvejais, kai UAB „FOUR SOULS“ įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Duomenų valdytojo ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

 2. Sprendimą perduoti Duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima UAB „FOUR SOULS“ direktorius.

 3. Pasitelkiamas Duomenų tvarkytojas turi užtikrinti reikiamų techninių ir organizacinių duomenų apsaugos priemonių įgyvendinimą.

 4. UAB „FOUR SOULS“ sutartyje įgaliodama Duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas duomenų valdytojo vardu. Duomenų tvarkytojai, kurie tvarko Duomenų subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija butų vieša pagal galiojančių įstatymų ir kitų teisės aktų nuostatas.

 

VII SKYRIUS

ASMENS DUOMENĮ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į

ŠIUOS PAŽEIDIMUS TVARKA

 

 1. Įvykus asmens duomenų saugumo pažeidimui, tai pastebėjęs darbuotojas nedelsiant turi informuoti Duomenų apsaugos pareigūną.

 2. Asmens duomenų saugumo pažeidimo atveju Duomenų valdytojas nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša Valstybinei duomenų apsaugos inspekcijai. Jeigu Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamas vėlavimo priežasčių pagrindimas.

 3. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Duomenų valdytojas nedelsdamas praneša apie asmens duomenų saugumo pažeidimą Duomenų subjektui.

 4. Taisyklių 48 punkte nurodyto pranešimo Duomenų subjektui nereikalaujama pateikti, jeigu įvykdomos bet kurios toliau nurodytos sąlygos:

  1. Duomenų valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tos priemonės taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio;

  2. Duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus Duomenų subjektų teisėms ir laisvėms;

  3. tai pareikalautų neproporcingai daug pastangų. Tokiu atveju vietoj to apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

 5. Pranešti Valstybinei duomenų apsaugos inspekcijai ir Duomenų subjektui nereikia, jei asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms. 

 6. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Šiais dokumentais turi būti užtikrinta galimybė Valstybinei duomenų apsaugos inspekcijai patikrinti, ar Kretingos PSPC laikosi nustatytų asmens duomenų apsaugos įgyvendinimo reikalavimų.

 

      VIII SKYRIUS

ASMENS DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

 

 1. Duomenų teikimas tretiesiems asmenims:

  1. neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik jeigu Rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie pacientą telefonu neteikiama.

  2. Vienkartinio duomenų teikimo atveju, UAB „FOUR SOULS“ teikdama asmens duomenis pagal duomenų gavėjo rašytinį prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.

 2. Konfidencialumo reikalavimas netaikomas ir informacija (asmens duomenys) gali būti suteikta tik tarnybiniais tikslais, neturint raštiško sutikimo:

  1. teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms, savivaldybių vaiko teisių apsaugos skyriams bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos įstatymai;

 

IX SKYRIUS 

BAIGIAMOSIOS NUOSTATOS

 

 1. Darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų BDAR, ADTAĮ ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles, BDAR ir (ar) ADTAĮ atsako teisės aktų nustatyta tvarka.

 2. Patvirtinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už supažindinimą su Taisyklėmis atsakingas personalo specialistas.

 3. UAB „FOUR SOULS“ užtikrina darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, mokymus.

 4. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę bei periodiškumą, ne rečiau kaip kartą per 2 metus, Taisyklių peržiūrėjimo, atnaujinimo pagal poreikį iniciavimą ir šių veiksmų atlikimo kontrolę yra atsakingas UAB „FOUR SOULS“ direktorius.

 5. Šias Taisykles pažeidę asmenys atsako Lietuvos Respublikos teisės aktu nustatyta tvarka.