priimtos pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo duomenų judėjimo nuostatas.
PAGRINDINĖS SĄVOKOS
1. Viešoji įstaiga „Brazzisocial“, įstaigos kodas 305172188, buveinės adresas Aušros g. 5, Antakalnio k., Kaišiadorių r. sav., veiklos adresas Vytenio g. 52, LT-03202 Vilnius; kontaktai: el. p. lead@brazzi.co, tel. nr. +3706 744 6022. Toliau asmens duomenų tvarkymo ir naudojimo taisyklėse „Įstaiga“.
2. Duomenų subjektas – reiškia fizinį asmenį, iš kurio Įstaiga gauna ir tvarko asmens duomenis.
3. Darbuotojas – reiškia asmenį, kuris su Įstaiga yra sudaręs darbo ar panašaus pobūdžio sutartį ir Bendrijos vadovo sprendimu yra paskirtas tvarkyti Asmens duomenis arba tokius duomenis tvarko pagal savo pareigybiniuose nuostatuose įvardytas darbo funkcijas arba, kurio asmens duomenys yra tvarkomi.
4. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
5. Duomenų gavėjas – juridinis arba fizinis asmuo arba valstybės institucija, kuriem teikiami asmens duomenys.
6. Duomenų teikimas – asmens duomenų atskleidimas, perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).
7. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.
8. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (arba) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose.
9. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojas ir (arba) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose.
10. Specialių kategorijų asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.
11. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti specialių kategorijų asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią.
12. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.
13. Reglamentas – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatas
14. Taisyklės – šios VšĮ „Brazzisocial“ bendrosios klientų asmens duomenų apsaugos taisyklės“.
BENDROSIOS NUOSTATOS
15. Taisyklės reglamentuoja Įstaigos ir jos darbuotojų veiksmus, tvarkant Asmens duomenis, naudojant Įstaigoje įrengtas automatines ir neautomatines asmens duomenų tvarkymo priemones, taip pat nustato Duomenų subjekto teises, asmens duomenų apsaugos įgyvendinimo priemones ir kitus su asmens duomenų tvarkymu susijusius klausimus.
16. Taisyklės paruoštos remiantis:
16.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatomis;
16.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatomis;
16.3. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“ nuostatomis;
16.4. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1 T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ nuostatomis;
16.5. Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga nuostatomis.
17. Šių Taisyklių reikalavimai privalomi visiems Darbuotojams, kurie tvarko Įstaigoje esančius asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis Duomenų tvarkytojai, kurie teikdami Įstaigai duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis.
ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI
18. Įstaiga, tvarkydama asmens duomenis, vadovaujasi šiais principais:
18.1. Asmens duomenis tvarko tik teisėtai ir šiose Taisyklėse apibrėžtiems tikslams pasiekti;
18.2. Asmens duomenys yra tvarkomi tikslingai, sąžiningai, laikantis teisės aktų reikalavimų;
18.3. Asmens duomenis tvarko taip, kad jie būtų tikslūs, esant jų pasikeitimui nuolat atnaujinami; netikslūs ar neišsamūs duomenys ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas;
18.4. Asmens duomenys tvarkomi tik tokia apimtimi, kuri yra reikalinga asmens duomenų tvarkymo tikslams pasiekti;
18.5. Asmens duomenys saugomi tokia forma ir tiek laiko, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
19. Asmens duomenys Įstaigoje tvarkomi šiais pagrindiniais tikslais:
19.1. Fotografijos mokymų, kvalifikacijos kėlimo mokymų vykdymo tikslu;
19.2. Veiklos informavimo visuomenei (publikuojamos fotonuotraukos) tikslu;
19.3. Vidaus administravimo tikslu;
19.4. Personalo valdymo, personalo dokumentų rengimo, dokumentų valdymo tikslu;
19.5. Turimų materialinių ir finansinių išteklių valdymo ir naudojimo tikslu;
19.6. Audito tikslu.
ASMENS DUOMENYS IR PRIVATUMO POLITIKA
20. Įstaigos renkamų ir valdomų duomenų kategorijos
Asmens duomenų kategorijos |
Bendrieji klientų asmens duomenys |
Bendrieji ir specialių kategorijų darbuotojų asmens duomenys |
21. Bendrijos renkamų ir valdomų duomenų aprašymas:
Duomenų kategorijos | Duomenų aprašymas |
Bendrieji klientų asmens duomenys | Vardas; Pavardė; Telefono numeris; Elektroninio pašto adresas; Socialinių tinklų (Facebook, Instagram) duomenys: vardas, miestas); Banko sąskaitos numeris (apmokėjimo už paslaugas atveju); Suteiktų paslaugų istorija; Atvaizdas |
Bendrieji ir specialių kategorijų Darbuotojų asmens duomenys | Plačiau žr. Darbuotojų asmens duomenų tvarkymo taisyklėse. |
22. Įstaigos renkamų ir valdomų duomenų kategorijos, tikslai ir teisinis pagrindas:
Duomenų kategorijos | Duomenų tvarkymo tikslas | Teisinis pagrindas |
Bendrieji klientų asmens duomenys | Fotografijos mokymų, kvalifikacijos kėlimo mokymų tikslu. Veiklos informavimo visuomenei (publikuojamos fotonuotraukos) tikslu. | Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (Reglamento 6 str. 1a dalis. |
Bendrieji ir specialių kategorijų Darbuotojų asmens duomenys | Personalo valdymo, personalo dokumentų rengimo, dokumentų valdymo tikslu; Turimų materialinių ir finansinių išteklių valdymo ir naudojimo tikslu; Audito tikslu; Teisės aktų reikalavimai | Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (Reglamento 6 str. 1c dalis.) |
23. Valdomų Asmens duomenų šaltiniai ir saugojimo terminai:
Duomenų kategorijos | Šaltinis | Duomenų saugojimo terminas |
Bendrieji klientų asmens duomenys | Tiesiogiai iš Duomenų subjekto | Saugoma 10 metų. Įstaiga vadovaujasi bylų saugojimo terminais nurodytais patvirtintoje Duomenų ir dokumentų saugojimo politikoje. |
Bendrieji ir specialių kategorijų Darbuotojų asmens duomenys | Tiesiogiai iš Duomenų subjekto | Įstaiga vadovaujasi bylų saugojimo terminais nurodytais patvirtintoje Duomenų ir dokumentų saugojimo politikoje. |
TIESIOGINĖ RINKODARA
24. Duomenų subjektas gali laisvanoriškai sutikti, jog Duomenų subjekto pateikti Asmens duomenys (el. pašto adresas) būtų naudojamas Įstaigos rinkodaros tikslais, savo sutikimą aktyviu būdu, išreikšdamas Įstaigos interneto svetainės www.brazzi.co registracijos formoje, pažymėdamas varnele ir patvirtindamas savo pritarimą dėl elektroninio pašto naudojimo tiesioginės rinkodaros tikslams.
25. Gavus Duomenų subjekto sutikimą, Įstaiga elektroniniu paštu teikia informaciją/ naujienlaiškius, susijusią su fotografijos paslaugomis, mokymais ir patrauklius pasiūlymus pagal Duomenų subjekto poreikius.
26. Duomenų subjekto pateikti duomenys, kurie naudojami tiesioginės rinkodaros tikslais padeda užtikrinti nuolatinį Įstaigos fotografijos paslaugų tobulinimą bei vystymą ir suteikia galimybę pateikti kuo geresnius paslaugų pasiūlymus.
27. Asmens duomenys rinkodaros tikslais renkami, tvarkomi ir naudojami taip, kad neleistų atskleisti Duomenų subjekto asmens tapatybės arba kitų asmens duomenų, pagal kuriuos būtų galima nustatyti asmens tapatybę tretiesiems asmenims.
28. Draudžiama rinkti Duomenų subjekto asmens kodą tiesioginės rinkodaros tikslais.
29. Duomenų subjekto sutikimas dėl jo duomenų naudojimo tiesioginės rinkodaros tikslais galioja 24 mėn. nuo sutikimo pateikimo momento arba tol, kol Duomenų subjektas neatšaukia duoto sutikimo.
30. Bet kuriuo atveju, jeigu Duomenų subjektas, nepageidauja, kad jo pateikti duomenys (el. pašto adresas) būtų naudojamas Tiesioginės rinkodaros tikslais, Duomeų subjektas gali rašyti elektroninį laišką adresu lead@brazzi.co arba siųsti atsisakymą registruotu paštu Vytenio g. 52, LT-03202 Vilnius ir nurodyti, kad nepageidauja gauti Tiesioginės rinkodaros pranešimų ir Įstaigos.
31. Įstaiga, įsipareigoja ne vėliau kaip kitą darbo dieną pašalinti Duomenų subjekto kontaktus iš reklaminius pranešimus siunčiančios duomenų bazės. Bet kuriuo atveju įrodinėjimo našta dėl gauto Duomenų subjekto sutikimo naudoti asmeninius duomenis rinkodaros tikslais tenka Įstaigai.
ASMENS DUOMENŲ SAUGUMAS IR TVARKYMAS
32. Vadovaudamiesi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Europos Sąjungos ir kt. duomenų apsaugą reglamentuojančiais teisės aktais, Įstaiga taiko priemones, kurios užkirstų kelią neteisėtai prieigai arba neteisėtam Duomenų subjekto duomenų panaudojimui. Įstaiga užtikrina, jog Duomenų subjekto pateikiami duomenys būtų apsaugoti nuo bet kokių neteisėtų veiksmų: neteisėto Asmens duomenų pakeitimo, atskleidimo ar sunaikinimo, asmens tapatybės vagystės, sukčiavimo bei, kad Asmens duomenų apsaugos lygis atitiktų Lietuvos Respublikos teisės aktų nustatytus reikalavimus.
33. Įstaiga naudoja atitinkamas verslo sistemas ir procedūras, leidžiančias apsaugoti ir ginti Duomenų subjekto Įstaigai patikėtus asmeninius duomenis. Įstaiga naudoja saugumo sistemas, technines ir fizines priemones, ribojančias prieigą prie Duomenų subjekto asmeninių duomenų ir jų panaudojimo Įstaigos serveriuose. Tik specialius leidimus turintys Įstaigos darbuotojai turi teisę matyti Duomenų subjekto asmeninius duomenis, pateiktus Į Įstaigai sutarčių pagrindu.
34. Asmens duomenys tvarkomi neautomatiniu būdu ir automatiniu būdu naudojant Įstaigoje įrengtas asmens duomenų tvarkymo priemones.
35. Įstaiga naudoja šias duomenų bazes/ programas valdant Asmens duomenis: Google drive programa, Visitorify rezervacijos sistema, MailerLite naujienlaiškių sistema, Trello ir Tresorit programose, Microsoft word/ excel programos. Prie visų šių programų prieigą turi tik atitinkamas darbuotojas, kuris pagal savo pareigybes turi teisę prisijungti prie sistemų prieš tai suvedus priskirtą slaptažodį ir (ar) prieiti prie užraktų saugomų popierinių asmens bylų/ rinkmenų.
36. Popierinėje laikmenoje laikomi dokumentai, susiję su darbuotojais specialiose rakinamose spintose prie kurių prieiga yra pilna apimtimi apribota. Kietasis diskas su duomenimis saugomas seife.
37. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai (visais atvejais ne rečiau kaip kas 3 (tris) mėn.), o taip pat susidarius tam tikroms aplinkybėms (pvz., pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.) slaptažodis turi būti pakeistas nedelsiant. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
38. Duomenų subjektų Asmens duomenys gali būti renkami ir saugomi tik Įstaigai nuosavybės teise priklausančiuose kompiuteriuose ar kitose informacinių technologijų priemonių įrenginiuose. Draudžiama saugoti Asmens duomenis asmeniniuose Darbuotojų įrenginiuose (pvz., telefonuose, planšetėse ar kt.).
39. Už kompiuterių priežiūrą atsakingas darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas privalo užtikrinti, kad asmens duomenų rinkmenos nebūtų „matomos“ (angl. shared) iš kitų kompiuterių, o antivirusinės programos atnaujinamos periodiškai.
.
40. Atsakingas už kompiuterių priežiūrą darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas daro kompiuteriuose esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas turi jas atstatyti ne vėliau kaip per 3 (tris) darbo dienas.
41. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia darbuotojo darbo ar panašaus pobūdžio sutartis su Įstaiga, arba kai Įstaigos direktorius atšaukia darbuotojo paskyrimą/ įgaliojimą tvarkyti asmens duomenis.
42. Duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra Asmens duomenų, saugomos rakinamose spintose arba seifuose. Dokumentai, kuriuose yra Asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje.
43. Siekdama užtikrinti Asmens duomenų apsaugą, Įstaiga įgyvendina arba numato įgyvendinti šias asmens duomenų apsaugos priemones:
43.1. Administracines (saugaus dokumentų ir kompiuterinių duomenų bei jų archyvų tvarkymo, taip pat įvairių veiklos sričių darbo organizavimo tvarkos nustatymas, personalo supažindinimas su asmens duomenų apsauga ir kt.);
43.2. Techninės ir programinės įrangos apsaugos (tarnybinių stočių, informacinių sistemų ir duomenų bazių administravimas, darbo vietų, Įstaigos patalpų priežiūra, operacinių sistemų apsauga, apsauga nuo kompiuterinių virusų ir kt.);
43.3. Komunikacijų ir kompiuterių tinklų apsaugos (bendro naudojimo duomenų, programų, nepageidaujamų duomenų paketų filtravimas (angl. firewalling) ir kt.).
44. Asmens duomenų apsaugos techninės ir programinės priemonės turi užtikrinti:
44.1. Operacinių sistemų ir duomenų bazių kopijų saugyklos įrengimą;
44.2. Nenutrūkstamo duomenų tvarkymo (apdorojimo) proceso technologiją;
44.3. Sistemų veiklos atnaujinimo nenumatytais atvejais strategiją (netikėtumų valdymas);
44.4. Autorizuotą duomenų naudojimą, jų nepažeidžiamumą.
45. Įstaigos pasitelkti Duomenų tvarkytojai ar Tretieji asmenys, kuriuos Įstaiga pasitelkė užsakytoms paslaugoms teikti turi garantuoti reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi. Informuoti Įstaigą apie ketinamas sudaryti sutartis su pagalbiniais duomenų tvarkytojais bei gauti išankstinius rašytinius Įstaigos sutikimus dėl jų paskyrimo.
DUOMENŲ SUBJEKTŲ TEISĖS
46. Duomenų subjektas turi šias pagrindines teises:
Duomenų subjektų teisės | |
46.1. Susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi | Duomenų subjektas turi teisę susipažinti su jo tvarkomais duomenimis, tvarkymo tikslais, saugojimo laikotarpiu, savo teisėmis, informacija ar naudojamas automatizuotas sprendimų priėmimas, įskaitant profiliavimą bei jo loginį pagrindimą (1 priedas). Duomenų subjektui turi būti atskleisti visi duomenų gavėjai ar jų kategorijos, kuriems jau buvo arba bus atskleisti duomenys. Tvarkomus duomenis duomenų subjektui teikti raštu ir neatlygintinai. Tam tikrais atvejais (kai duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai arba neproporcingai, pakartotinai teikia prašymus dėl jų pasikartojančio turinio pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimas duomenų subjektui gali būti apmokestintas, t. y. duomenų valdytojas gali imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba gali atsisakyti imtis veiksmų pagal prašymą. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas. Informaciją pateikti įprastai naudojama elektronine forma, nebent prašoma informaciją pateikti kitaip. |
46.2. Reikalauti ištaisyti savo asmens duomenis | Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys pateikdamas papildomą prašymą (2 priedas). Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus. |
46.3. Nesutikti, kad būtų tvarkomi jo asmens duomenys | Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, įskaitant profiliavimą. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus. Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara. Duomenų subjektas apie teisę nesutikti aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos. |
46.4. Reikalauti ištrinti duomenis („Teisė būti pamirštam“) | Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių (3 priedas): kai asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi; kai asmens duomenų subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis; kai asmens duomenų subjektas nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis; kai asmens duomenys buvo tvarkomi neteisėtai; kai asmens duomenys turi būti ištrinti dėl duomenų valdytojui nustatytos teisinės prievolės; kai asmens duomenys buvo surinkti informacinės visuomenės paslaugų siūlymo kontekste; kai duomenų valdytojas viešai paskelbė asmens duomenis ir privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus; kai asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi ir kai asmens duomenų subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis netaikoma, jeigu duomenų tvarkymas yra būtinas siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę; siekiant laikytis nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; dėl viešojo intereso priežasčių visuomenės sveikatos srityje; archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus. |
46.5. Teisė į duomenų perkeliamumą | Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai: duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi; duomenys tvarkomi automatizuotomis priemonėmis. Naudodamasis savo teise į duomenų perkeliamumą, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma. Teisė į duomenų perkeliamumą negali daryti neigiamo poveikio kitų teisėms ir laisvėms. |
46.6. Teisė apriboti asmens duomenų tvarkymą | Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų: asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą; asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą; duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis. Kai duomenų tvarkymas yra apribotas pagal aukščiau išvardintus punktus, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl valstybės narės viešojo intereso priežasčių. |
47. | Taip pat turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai (A. Juozapavičiaus g. 6, 09310 Vilnius, Tel. (8 5) 271 2804, El. paštas ada@ada.lt). |
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA
48. Įstaiga, kurioje renkami ir tvarkomi Duomenų subjekto duomenys, privalo sudaryti sąlygas Duomenų subjektui įgyvendinti pirmiau nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti kitų asmenų teisių ir laisvių apsaugą.
49. Duomenų subjektai, kurių asmens duomenys tvarkomi, apie tai yra informuojami suteikiant šią informaciją:
49.1. Asmens duomenis tvarko viešoji įstaiga „Brazzisocial“, įstaigos kodas 305172188, buveinės adresas Vytenio g. 52, LT-03202 Vilnius;
49.2. Asmens duomenys tvarkomi šiuo tikslu – pagrindinis tikslas – fotografijos mokymų, kvalifikacijos kėlimo mokymų paslaugų teikimas;
50. Duomenų subjektai, kurių asmens duomenys tvarkomi, turi būti informuojami ne tik apie jų teisę susipažinti su savo asmens duomenimis, bet ir apie teisę reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus. 51. Duomenų subjekto teisė susipažinti su savo asmens duomenimis procedūrinė įgyvendinimo tvarka:
51.1. Duomenų subjektas, pateikęs Įstaigai asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius vienerius metus. Jei prašymą Duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta notaro patvirtinta Duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą. Jei duomenų subjekto atstovo prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu;
51.2. Gavus Duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo ir patikrinus Duomenų subjekto tapatybę, Duomenų subjektui suteikiama informacija, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikiami Duomenų subjektui prašomi duomenys;
51.3. Įgyvendinant Duomenų subjekto teises, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. Duomenų subjektui susipažįstant su savo asmens duomenimis, jeigu dokumentuose matomi kitų asmenų duomenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie įrašai turi būti retušuoti ar kitais būdais panaikinama galimybė identifikuoti trečiuosius asmenis;
51.4. Gavus Duomenų subjekto prašymą, informacija, ar su juo susiję asmens duomenys yra tvarkomi, Duomenų subjekto prašomi duomenys pateikiami ne vėliau kaip per 30 kalendorinių dienų nuo Duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia Duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo dydį duomenų valdytojas nustato vadovaudamasis Duomenų teikimo duomenų subjektui atlyginimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl Duomenų teikimo duomenų subjektui atlyginimo tvarkos aprašo patvirtinimo“.
52. Duomenų subjekto teisė nesutikti su savo asmens duomenų tvarkymu procedūrinė įgyvendinimo tvarka:
52.1. Duomenų subjektas ADTAĮ 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys;
52.2. Duomenų subjekto teisė nesutikti su asmens duomenų teikimu įgyvendinama prieš atliekant asmens duomenų tvarkymo veiksmus, Duomenų subjektą raštu informuojant: apie ketinamą atlikti asmens duomenų tvarkymo veiksmą (teikimą, naudojimą ir pan.); nurodant, jog Duomenų subjektas turi teisę nesutikti su tokiu duomenų tvarkymu; paaiškinant, kad teisiškai pagrįstas nesutikimas turi būti išreiškiamas pateikiant rašytinį pranešimą, kuris duomenų valdytojui gali būti pateikiamas asmeniškai, paštu ar elektroninių ryšių priemonėmis; nustatant protingą terminą, per kurį Duomenų subjektas turi teisę išreikšti savo valią;
52.3. Jeigu Duomenų subjektas per nustatytą terminą išreiškia teisiškai pagrįstą nesutikimą, Duomenų valdytojas neatlieka asmens duomenų tvarkymo veiksmų ADTAĮ 5 straipsnio 1 dalies 5 ar 6 punktuose nustatytais atvejais ir Duomenų subjekto prašymu praneša jam apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus, nurodant atsisakymo motyvus.
53. Duomenų subjekto teisė reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmų procedūrinė įgyvendinimo tvarka:
53.1. Jeigu Duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir Duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdamas ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;
53.2. Jeigu Duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir pats ar jo įgaliotas atstovas raštu kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, neatlygintinai patikrina Duomenų subjekto asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;
53.3. Duomenų valdytojas, Duomenų subjekto ar jo įgalioto atstovo prašymu sustabdęs Duomenų subjekto asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus ištaisyti ar sunaikinti (Duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:
53.3.1. Turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;
53.3.2. Jei Duomenų subjektas tiesiogiai ar per įgaliotą atstovą duoda sutikimą toliau tvarkyti savo asmens duomenis;
53.3.3. Jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.
53.4. Duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, praneša Duomenų subjektui ar jo įgaliotam atstovui apie jo prašymu atliktą ar neatliktą Duomenų subjekto asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą;
53.5. Duomenų subjekto asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal Duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus Duomenų subjekto ar jo įgalioto atstovo prašymą;
53.6. Duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, informuoja duomenų gavėjus apie Duomenų subjekto ar jo įgalioto atstovo prašymu ištaisytus ar sunaikintus Duomenų subjekto asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
54. Duomenų valdytojas turi teisę motyvuotai atsisakyti įgyvendinti Duomenų subjekto teises esant ADTAĮ 23 straipsnio 2 dalyje numatytoms aplinkybėms.
55. Duomenų subjektai prašymus dėl savo teisių įgyvendinimo gali pateikti Įstaigai:
Elektroniniu paštu | Registruotu paštu |
lead@brazzi.co | Vytenio g. 52, LT-03202 Vilnius |
ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS
56. Tais atvejais, kai Įstaiga įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Įstaigos ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.
57. Sprendimą perduoti Duomenų subjekto duomenų tvarkymą asmens Duomenų tvarkytojui priima Įstaigos direktorius.
58. Įstaigos direktorius privalo parinkti tokį Duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.
59. Įstaiga, sutartyje įgaliodama Duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kokius asmens duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytojas Duomenų valdytojo vardu. Duomenų tvarkytojai, kurie tvarko Duomenų subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ir kitų teisės aktų nuostatas.
DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
60. Informacija apie Asmens duomenų teikimą ir gavimą:
Duomenų kategorijos | Duomenų valdytojas | Duomenų tvarkytojas | Duomenų teikėjas | Duomenų gavėjas |
Bendrieji klientų asmens duomenys | VšĮ „Brazzisocial“ | VšĮ „Brazzisocial“; Buhalterines paslaugas teikianti įmonė | Duomenų subjektas | VMI prie LR FM; Valstybinės institucijos LR įstatymų nustatyta tvarka |
Bendrieji ir specialių kategorijų Darbuotojų asmens duomenys | VšĮ „Brazzisocial“ | VšĮ „Brazzisocial“ | Duomenų subjektas; SoDra; VMI prie LR FM | SoDra; VMI prie LR FM; Bankai; Valstybinės institucijos LR įstatymų nustatyta tvarka |
61. Neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik, jeigu rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie Duomenų subjektą telefonu neteikiama.
62. Vienkartinio duomenų teikimo atveju Įstaiga, teikdama asmens duomenis pagal duomenų gavėjo rašytinį prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.
63. Įstaiga, užtikrina, kad fotografijos paslaugų įgyvendinimo metu gautų asmens duomenų tvarkymas bus vykdomas tik Europos Sąjungos Valstybėje narėje arba kitoje Europos Ekonominėje Erdvėje esančioje valstybėje, arba valstybėje, kuri, Europos Komisijos sprendimu, užtikrina tinkamą duomenų apsaugos lygį, arba kitaip atitinka šį punktą. Norint gautus asmens duomenis perduoti arba prie jų suteikti prieigą valstybei, kuri neatitinka šiame punkte nurodytų reikalavimų, reikia gauti išankstinį raštišką arba elektroninės formos (pavyzdžiui, el. paštu) Duomenų subjekto sutikimą ir laikytis asmens duomenų perdavimo trečiosioms valstybėms taisyklių (Reglamento 44-45 str.).
ASMENS DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA
64. Įstaigos tvarkomi asmens duomenys saugomi serveriuose, esančiuose Europos Sąjungos teritorijoje, taip pat duomenų bazėse ir popierinėse bylose.
65. Asmens duomenys Įstaigos saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
66. Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.
67. Dokumentų saugojimo Įstaigoje terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai ir kiekvienais metais tvirtinami Įstaigos dokumentacijos planai.
68. Dokumentus, kuriuose yra asmens duomenų, saugo Įstaigos darbuotojai duomenų ir dokumentų politikoje patvirtintą terminą. Pasibaigus politikoje nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami arba perduodami saugoti valstybės archyvui.
69. Automatiniu būdu tvarkomi asmens duomenys saugomi dokumentacijos planuose nustatytus terminus.
70. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos, automatiniu būdu tvarkomi asmens duomenys turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
71. Už asmens duomenų sunaikinimą dokumentuose, esančiuose Įstaigos archyve, yra atsakingas direktorius. Už asmens duomenų sunaikinimą informacinėse sistemose ir duomenų bazėse atsakingas direktorius.
POVEIKIO DUOMENŲ APSAUGAI ATLIKIMO TVARKA
72. Reglamento 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Įstaigoje yra atliekamas poveikio duomenų apsaugai vertinimas.
73. Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.
74. Poveikio duomenų apsaugai vertinimą atlieka Įstaigos darbuotojai arba asmenys pagal paslaugų teikimo sutartį.
75. Atliekant poveikio duomenų apsaugai vertinimą, konsultuojamasi su duomenų apsaugos pareigūnu. Jeigu atliekamas poveikio duomenų apsaugai vertinimas yra susijęs su darbuotojų asmens duomenų tvarkymu, papildomai konsultuojamasi su darbo taryba arba jos funkcijas atliekančia institucija. Duomenų apsaugos pareigūno ir darbo tarybos arba jos funkcijas atliekančios institucijos nuomonė gaunama raštu.
76. Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento 35 straipsnio 7 dalyje nurodyta informacija.
77. Poveikio duomenų apsaugai vertinimo ataskaita saugoma teisės aktų nustatyta tvarka.
78. Jeigu atlikus poveikio duomenų apsaugai vertinimą nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jeigu duomenų valdytojas nesiimtų priemonių pavojui sumažinti, konsultuojamasi su Valstybine duomenų apsaugos inspekcija jos nustatyta tvarka.
DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ PILDYMO TVARKA
79. Duomenų veiklos įrašų vedimo tvarka Įstaigoje yra naudojama vadovaujantis šiomis principinėmis nuostatomis:
79.1. Turi būti naudojama griežtai tik darbo reikmėms;
79.2. Naudojantis turi būti laikomasi galiojančių Lietuvos Respublikos teisės aktų, Įstaigos vidinių aktų, darbo sutarčių nuostatų bei naudojimo instrukcijų;
79.3. Naudojantis turi būti laikomasi darbuotojų saugos, komercinės informacijos saugos, asmens duomenų apsaugos reikalavimų;
79.4. Naudojimas turi užtikrinti konfidencialumo įsipareigojimų, intelektinės nuosavybės teisių, įskaitant trečiųjų asmenų teises ir teisėtus interesus, bendrųjų etikos ir moralės principų laikymąsi.
80. Duomenų veiklos įrašų vedimo dokumente (bei elektroninėje jo rinkmenoje) privalo būti nurodyta:
80.1. Duomenų tvarkytojas – Įstaigos pavadinimas, atsakingas asmuo;
80.2. Duomenų tvarkymo tikslas – kokiu tikslu yra tvarkomi duomenys (aiškiai aprašyti pvz., formaliam ugdymui teikti ir kt.);
80.3. Duomenų subjektai ir asmens duomenys – kokie konkretūs duomenys yra renkami (pvz., vardas, pavardė, adresas, ID kortelės kodas);
80.4. Duomenų tvarkymo pagrindas – dėl ko vyksta šis rinkimas (pavyzdžiui, sutartis, prašymas, sutikimas);
80.5. Duomenų gavėjai – kas yra galutinis šių duomenų gavėjas (pavyzdžiui, privatus asmuo, įmonės, ne Europos Sąjungos šalys);
80.6. Duomenų saugojimo terminai – laikotarpis metais, kuriais nurodoma, kiek saugomi šie duomenys, ir momentas, nuo kada šis laikotarpis skaičiuojamas (pavyzdžiui, vieni metai nuo interesanto prašymo gavimo);
80.7. Duomenų ištrynimo (panaikinimo) terminai – laikotarpis metais, kurias nurodoma, kuriam laikui praėjus šie saugomi duomenys bus ištinti, ir momentas, nuo kada šis laikotarpis skaičiuojamas (pavyzdžiui, dveji metai nuo darbo sutarties nutraukimo);
80.8. Naudojamos techninės ir organizacinės saugumo priemonės – naudojami pseudonimai, šifravimas, veiklos tęstinumo užtikrinimas techninio incidento metu, nuolatinis vertinimo procesas ir pan.
81. Duomenų veiklos įrašų vedimo dokumente gali būti ir kitų nuostatų, pildomų pagal poreikį. Duomenų veiklos įrašai į dokumentą įvedami raštu (ir elektroniniu būdu) iš karto po kiekvieno veiksmo atlikimo. Tai turi būti daroma nuolat vykdant naujas duomenų tvarkymo operacijas.
82. Įvykus incidentui, įrašuose turi būti tai pažymėta remiantis Reagavimo į duomenų saugumo pažeidimus procedūros aprašo nuostatomis ir ten nurodytomis tvarkomis.
83. Kartą per vienus metus turi būti atliekamas patikrinimas pasirinktinai iki 10 proc. įrašų auditavimui atlikti ir įvertinti.
84. Kartą per dvejus metus turi būti atliekamas išsamus patikrinimas ir auditavimas.
85. Duomenų veiklos įrašų vedimo tvarka ne rečiau kaip kartą per vienus metus peržiūrima ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, diegiant struktūrinius, technologinius ar kitokius pakeitimus, atnaujinama. Už šios tvarkos nuostatų laikymosi priežiūrą ir juose reglamentuotų nuostatų vykdymo kontrolę, atnaujinimo pagal poreikį inicijavimą yra atsakingas pareigūnas.
86. Visi šiame skyriuje nenumatyti veiksmai, susiję su duomenų veiklos įrašų vedimu Įstaigoje, privalo būti derinami su pareigūnu.
ATSAKOMYBĖ
87. Duomenų subjektas privalo Įstaigai pateikti išsamius ir teisingus Duomenų subjekto Asmens duomenis bei informuoti apie atitinkamus Duomenų subjekto Asmens duomenų pasikeitimus. Įstaiga nebus atsakinga už žalą, atsiradusią Duomenų subjektui ir (ar) Tretiesiems asmenims dėl to, jog Duomenų subjektas nurodė neteisingus ir (ar) neišsamius savo Asmens duomenis arba tinkamai ir laiku neinformavo apie jų pasikeitimus.
88. Įstaiga internetinėje svetainėje www.brazzi.co taip pat išviešina savo atstovo kontaktus dėl Duomenų subjektų prašymų nagrinėjimo.
BAIGIAMOSIOS NUOSTATOS
89. Šios Taisyklės, sudarytos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatomis, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu bei kitų susijusių teisės aktų nuostatomis.
90. Įstaiga turi teisę iš dalies arba visiškai pakeisti Taisykles apie tai iš anksto pranešdama Įstaigos interneto puslapyje. Taisyklių papildymai arba pakeitimai įsigalioja nuo jų paskelbimo dienos, t. y. kai jie yra patalpinami Įstaigos internetiniame puslapyje. Jeigu Duomenų subjektas nesutinka su nauja Taisyklių redakcija, Duomenų subjektas turi teisę atsisakyti naudotis Įstaigos teikiamomis paslaugomis. Jei po Taisyklių papildymo arba pakeitimo Duomenų subjektas ir toliau naudojasi Įstaigos teikiamomis paslaugomis, laikoma, kad Duomenų subjektas sutinka su naująja Taisyklių redakcija.
91. Šių Taisyklių pagrindu kylantiems santykiams taikoma Lietuvos Respublikos teisė.
92. Visi nesutarimai, kilę dėl šių Taisyklių vykdymo, sprendžiami derybų būdu. Nepavykus susitarti per 30 (trisdešimt) kalendorinių dienų, ginčai sprendžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.
93. Standartizuota prašymų susipažinti su asmens duomenimis forma patvirtinta pagal bendrųjų asmens duomenų apsaugos taisyklių 1 priedo reikalavimus.
94. Standartizuota prašymų ištaisyti duomenis forma patvirtinta pagal bendrųjų asmens duomenų apsaugos taisyklių 2 priedo reikalavimus.
95. Standartizuota prašymų ištrinti asmens duomenis forma patvirtinta pagal bendrųjų asmens duomenų apsaugos taisyklių 3 priedo reikalavimus.