ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

[columns] [span8]

 

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

  1. BENDROSIOS NUOSTATOS

1.1. Šios asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) taikomos www.dantu-implantai.lt svetainėje (toliau – svetainė) , tvarkant gautus Duomenų subjekto duomenis automatiniu ir neautomatiniu būdu, reguliuoja fizinių asmenų (toliau – Duomenų subjektas) asmens duomenų tvarkymo tikslus, nustato Duomenų subjektų teisių įgyvendinimo tvarką, Įmonės darbuotojų pareigas ir atsakomybę tvarkant asmens duomenis, įtvirtina organizacines ir technines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus.

Šios Taisyklės parengtos remiantis:

1.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas);

1.3. LR asmens duomenų teisinės apsaugos įstatymu, Elektroninių ryšių įstatymu ir kitais teisės aktais, nustatančiais prievoles asmens duomenų tvarkymui ir apsaugai.

1.4. Taisyklės taikomos automatiniu ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas. Taip pat įskaitant, bet neapsiribojant ir nuotraukas, vaizdo ir/ar garso įrašus, tiesioginėje rinkodaroje naudojamus duomenis.

1.5. Šių Taisyklių reikalavimai privalomi visiems www.dantu-implantai.lt darbuotojams ir asmenims dirbantiems pagal paslaugų teikimo sutartis (toliau – Darbuotojai), kurie tvarko www.dantu-implantai.lt esančius asmens duomenis arba eidami savo pareigas juos sužino.

1.6. Šių Taisyklių taip pat privalo laikytis duomenų tvarkytojai ir sub-tvarkytojai, kurie teikdami www.dantu-implantai.lt savo prekes ar/ir paslaugas, galimai gali sužinoti ar atskleisti asmens duomenis.

1.7. www.dantu-implantai.lt tvarkydama asmens duomenis jų neperduoda už ES ar EEE teritorijos ribų. Keičiantis šiai nuostatai, tie duomenų subjektai, įskaitant ir Darbuotojus, kurių asmens duomenys bus perduodami trečiosioms šalims arba tarptautinėms organizacijoms, perspėjami asmeniškai, gaunant jų sutikimą.

  1. TAISYKLĖSE VARTOJAMOS SĄVOKOS

2.1. Duomenų valdytojas: – www.dantu-implantai.lt

2.2. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

2.3. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka kaip  rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas ;

2.4. Duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

2.5. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra, trečioji šalis ar kita įstaiga, kuri tvarko asmens duomenis, Duomenų valdytojui leidus ar teikiant savo paslaugas Duomenų valdytojui;

2.6. Duomenų subjekto sutikimas – laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais;

2.7. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys;

2.8. Specialiųjų kategorijų asmens duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata. Šie duomenys Įmonėje yra tvarkomi taikant aukščiausius duomenų apsaugos standartus;

2.10. Įmonė (bendrovė) – bet kokios teisinės formos ekonomine veikla užsiimantis fizinis arba juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus;

2.11. Priežiūros institucija – valstybės įsteigta nepriklausoma valdžios institucija – atsakinga už reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant asmens duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje.Taip pat bet kuri kita įstaiga, kuri turi teisę vykdyti duomenų valdytojo vykdomos veiklos kontrolę ir patikras.

2.12 Pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti prisikirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija.

Kitos sąvokos yra išaiškinamos ir turi būti suprantamos taip, kaip yra pateiktos Bendrajame duomenų apsaugos reglamente ES 2016/679.

  • TVARKYMO TIKSLAS, SRITIS IR SUBJEKTAI

3.1. Asmens duomenų tvarkymo tikslas:

  1. A) Įmonės paslaugų teikimas fiziniams asmenims;
  2. B) Tiesioginė rinkodara ir paslaugų gerinimas;
  3. C) Darbdavio įsipareigojimų vykdymas darbuotojams;
  4. D) Įmonei priklausančių transporto priemonių kuro kortelių apskaita;
  5. F) Darbuotojų gimtadienių ar kitų įmonės švenčių minėjimas;
  6. G) Atskaitomybės vykdymas sveikatos priežiūrą vykdančioms institucijoms;

3.2. Asmens duomenų taisyklės taikomos:

3.2.1. Duomenų valdytojui, tvarkančiam klientų ir darbuotojų duomenis automatiniu ir neautomatiniu būdu. Šių Taisyklių reikalavimai yra privalomi visiems Įmonės darbuotojams;

3.2.2. Duomenų tvarkytojams – juridiniams ar fiziniams asmenims, duomenų valdytojo įgaliotiems tvarkyti asmens duomenis, arba galimai galintiems prieiti prie duomenų valdytojo tvarkomų asmens duomenų kai teikia savo paslaugas.

  1. Tvarkant asmens duomenis laikomasi asmens duomenų tvarkymo sąlygų.

4.1. Už Duomenų subjektų duomenų rinkimą, priežiūrą ir atnaujinimą įmonėje, atsako direktoriaus įsakymu paskirti asmenys ir asmenys kurie dirba su asmens duomenimis;

4.2. Už duomenų pažeidimą atsako Įmonės direktorius.

  1. Įmonė tvarko tik tokius asmens duomenis ir tik tokiems tikslams pasiekti, kurie reikalingi ar būtini Įmonės veikloje arba to reikalauja teisės aktai;
  2. Asmens duomenys yra tvarkomi skaidriai, sąžiningai, duomenų rinkimo mažinimo principu ir taikant pritaikytosios ir standartizuotosios duomenų apsaugos principus. Asmens duomenys yra tvarkomi tik tiek laiko, kiek jie yra reikalingi tvarkyti tikslui pasiekti.

6.1. Sąskaitose faktūrose pateiktų asmens duomenų saugojimo vidutinis laikas yra 10 (dešimt) metų. Užklausose pateiktų asmens duomenų saugojimo vidutinis terminas yra 2 (dveji) metai. Darbuotojų bylų duomenys saugomi 50 (penkiasdešimt) metų nuo darbo sutarties pabaigos ar nutraukimo; pacientų kortelėse sukauptų duomenų,susijusių su atliktu gydymu saugojimo terminas yra 25 metai nuo paskutiniojo įrašo datos.

6.2. Detalus asmens duomenų saugojimo terminas nustatomas dokumentų saugojimo plane, patvirtintame direktoriaus įsakymu.

6.3. Dokumentai yra saugojami administracijos dokumentų saugykloje

  1. DUOMENŲ TVARKYTOJAI IR JŲ PASIRINKIMAS
  2. Duomenų valdytojas (www.dantu-implantai.lt), pasitelkdamas Duomenų tvarkytojus (Interneto tiekėjus, banką, telefoninio ryšio tiekėjus, siuntų tarnybas ir kitus), sudaro jų sąrašą, su Duomenų tvarkytojais sudaroma rašytinė asmens duomenų tvarkymo sutartis arba nuostatos, kurių laikosi Duomenų tvarkytojas, arba jos gali būti įtrauktos į paslaugų teikimo sutartį. Sutartyse laikomasi šių nuostatų:
    • Duomenų valdytojas (www.dantu-implantai.lt) pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės jų veikloje bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento ES 2016/679
    • Duomenų tvarkytojas nepasitelkia kito Duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio Duomenų valdytojo (www.dantu-implantai.lt) leidimo.
    • Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal LR ir Europos teisę, kurie yra privalomi Duomenų tvarkytojui Duomenų valdytojo atžvilgiu ir kurioje nustatomas duomenų tvarkymo tikslas ir trukmė, Duomenų tvarkytojo įsipareigojimai Duomenų valdytojui, konfidencialumo ir duomenų saugumą užtikrinančios techninės sąlygos ir kita svarbi asmens duomenų apsaugos
    • Kai Duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai Duomenų valdytojo (www.dantu-implantai.lt) vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal LR ir Europos teisę tam kitam Duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės.
    • Imasi visų priemonių, kurių reikalaujama pagal Reglamento straipsnį Nr. 32;
    • laikosi 2 ir 4 Reglamento dalyse nurodytų kito duomenų tvarkytojo (sub-tvarkytojo) pasitelkimo sąlygų;
    • atsižvelgdamas į duomenų tvarkymo pobūdį, padeda duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti III Reglamento skyriuje nustatytomis duomenų subjekto teisėmis;
    • padeda duomenų valdytojui užtikrinti Reglamento 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;
    • pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Sąjungos ar valstybės narės teise reikalaujama asmens duomenis saugoti;
    • pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos šiame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.
    • Vykdo papildomus susitarimus sudarytus tarp duomenų valdytojo ir duomenų tvarkytojų, nustatytus duomenų tvarkytojo ir duomenų valdytojo sutartimi.
  1. ASMENS DUOMENŲ SAUGOJIMO TERMINAI
  1. Asmens duomenų saugojimo terminai įmonėje nustatomi pagal LR dokumentų saugojimo teisės aktus. Duomenys yra saugomi pagal Įmonės direktoriaus patvirtintą dokumentų valdymo planą.

8.1 Asmens duomenys saugomi tokia forma, apimtimi ir tik tiek laiko, kad duomenų subjektų tapatybę būtų galima nustatyti tiek, kiek yra reikalinga nustatytiems tikslams pasiekti. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami negrįžtamai, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams arba ir toliau nuolatinai saugomi pagal įstatymą.

8.2. Asmens duomenys esantys sąskaitose faktūrose yra saugomi ne trumpiau, nei 10 (dešimt) metų, o kortelėse ne trumpiau nei 25 (dvidešimt penkerius) metus nuo paskutiniojo įrašo dienos.

8.3. Detalus saugojimo terminas nustatomas kasmetiniame dokumentų valdymo plane.

  1. SUTIKIMO GAVIMAS IR TEISĖTAS PAGRINDAS
  1. Duomenys tvarkomi remiantis:
    • BDAR 6 straipsnio (1) (a) dalimi: duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
    • BDAR 6 straipsnio (1) (b) dalimi: tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
    • BDAR 6 straipsnio (1) (c) dalis: tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
    • BDAR 6 straipsnio (1) (d) tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
  1. Duomenų subjekto sutikimas duodamas laisva valia rašytiniu pareiškimu arba internete pažymint atitinkamą, sutikimą išreiškiantį langelį. Prašymas duoti sutikimą pateikiamas aiškiai atskirtas nuo kitų klausimų, pateikiamas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, pateikiant visą informaciją susijusią su jo duomenų tvarkymu ir teisėmis.
  2. Duomenų subjektas visada įspėjamas, kad turi teisę bet kurio metu atšaukti savo sutikimą.
  3. Vaiko asmens duomenų tvarkymas įmonėje nėra vykdomas, nebent tai susiję su darbuotojais ir taikoma teisine prievole tokius duomenis patikrinti atliekant darbdavio prievoles (laisvų dienų suteikimas ,,mamadieniai” ir kita).

 VII. KONFIDENCIALUMAS IR SAUGUMAS

 

  1. Įmonė siekia tinkamai įgyvendinti organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto naikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto tvarkymo.
  1. Įmonės darbuotojai laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas. Konfidencialumo principo darbuotojai laikosi netgi ir pasitraukus ar pasibaigus darbo santykiams.
  2. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos, jo funkcijų vykdymui;
  3. Darbuotojai gali perduoti dokumentus, kuriose nurodyti asmens duomenys tik tiems darbuotojams, kurie pagal pareigas turi teisę dirbti su asmens duomenimis.
  4. Duomenų tvarkymo funkcijas vykdantis ar su jais susipažinti galintys darbuotojai pasirašytinai saugo asmens duomenų paslaptį.
  5. Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai yra apmokomi kaip galėtų užkirsti kelią neteisėtam asmens duomenų tvarkymui, saugodami dokumentus tinkamai ir saugiai, bei vengiant nereikalingų kopijų darymo.
  6. Įmonėje įvykus asmens duomenų apsaugos pažeidimui, atsakingas už Įmonės tvarkomų asmens duomenų apsaugą asmuo per 72 valandas apie tokį pažeidimą praneštų LR Valstybinei duomenų apsaugos inspekcijai, ir esant poreikiui policijai bei asmenims, kurių duomenys buvo pažeisti taip pat UAB ,,Interneto vizijai”, kurios paslaugomis dėl serverio nuomos, naudojasi.
  7. Informacija apie klientą teikiama trečiosioms šalims tik tada, jeigu tai yra privaloma pagal Lietuvos respublikos arba Europos sąjungos galiojančius įstatymus, arba jeigu dėl informacijos teikimo yra gautas kliento raštiškas sutikimas.
  8. Klientų duomenys nėra teikiami pakartotiniam naudojimui komerciniais tikslais, nebent su tokiomis nuostatomis duomenų subjektai sutinka.

VIII. DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA.

 VIII.I. SKAIDRUMAS IR SĄLYGOS

  1. Duomenų valdytojas imasi tinkamų priemonių, kad visą informaciją ir visus pranešimus, susijusius su duomenų tvarkymu subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Informacija yra pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma.
  2. Duomenų valdytojas stengiasi sudaryti palankesnes sąlygas naudotis duomenų subjekto teisėmis susipažinti su duomenimis.
  3. Duomenų valdytojas nedelsdamas, tačiau bet kuriuo atveju ne vėliau kai per vieną kalendorinį mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą.
  4. Gavus subjekto prašymą pasinaudoti savo teisėmis, duomenų valdytojas atsiunčia arba įteikia įmonės direktoriaus patvirtintą oficialią prašymo formą, teisėms įgyvendinti. Prašymas yra užpildomas pačio prašančiojo asmens arba prašančiojo asmens notariškai įgalioto atstovo ir atsiimant atsakymą arba atvykus pasinaudoti savo teisėmis, pateikiamas pasirašytas, kartu su asmens tapatybę įrodančiu dokumentu, tinkamai asmens identifikacijai užtikrinti,
  5. Visa teikiama informacija ir visi pranešimai bei visi veiksmai susiję su duomenų supažindinimu yra nemokami.
  6. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali:

28.1 imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų administracines išlaidas; arba

28.2 gali atsisakyti imtis veiksmų pagal prašymą;

28.3 duomenų valdytojas prisiima atsakomybę įrodyti, kad prašymas yra akivaizdžiai  nepagrįstas arba neproporcingas.

28.4 kai duomenų valdytojas turi pagrįstų abejonių dėl prašymą pateikusio fizinio asmens tapatybės, duomenų valdytojas gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę.

  1. Informacija, kuri duomenų subjektams turi būti teikiama, gali būti teikiama su standartizuotomis piktogramomis. Atsakymas teikiamas kiek leidžia techninės galimybės naujausiu ir kompiuterio skaitomu formatu.
  2. DUOMENŲ SUBJEKTO TEISĖS
  1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi bei susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad sužinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Kiekvienas duomenų subjektas turi teisę žinoti ir būti informuotas apie:

30.1  kokiais tikslais asmens duomenys tvarkomi.

30.2  kokiais terminais yra saugomi asmens duomenys.

30.3 ar yra duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiose valstybėse arba traptautinės organizacijos.

30.4 turi teisę prašyti duomenų valdytojo ištaisyti asmens duomenis.

30.5 turi teisę prašyti ištrinti asmens duomenis.

30.6 turi teisę apriboti asmens duomenų tvarkymą.

30.7 turi teisę nesutikti su asmens duomenų tvarkymu.

30.8 turi teisę pateikti skundą Valstybinei asmens duomenų apsaugos inspekcijai, jeigu įtaria, kad jo duomenys tvarkomi neteisėtu būdu.

30.9 kai asmens duomenys renkami ne iš duomenų subjekto, turi teisę prašyti sužinoti visą turimą informaciją apie duomenų teikimo šaltinius.

30.10 teisę pasinaudoti galimybe į duomenų perkeliamumą.

  1. TEISĖS ŽINOTI (BŪTI INFORMUOTAM) APIE SAVO ASMENS DUOMENŲ

TVARKYMĄ ĮGYVENDINIMAS

 

31.Duomenų subjekto teisė įgyvendinama, informaciją duomenų subjektui apie asmens duomenų tvarkymą pateikiant:

31.1 Įmonė turi teisę atsisakyti įgyvendinti  numatytą duomenų subjekto teisę arba pateikti ne visą duomenų subjekto prašomą informaciją, kai:

31.2 Duomenų subjektas tokią informaciją jau yra gavęs per einamus kalendorinius metus, arba jau turi prašomą pateikti informaciją;

31.3 Duomenų subjekto prašomos informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų;

31.4 Asmens duomenų gavimas ar atskleidimas yra aiškiai nustatytas Europos Sąjungos arba Lietuvos Respublikos teisės aktuose, kuriuose nustatytos tinkamos teisėtų duomenų subjektų interesų apsaugos priemonės;

31.5 Asmens duomenys privalo išlikti konfidencialūs, laikantis Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose reglamentuojamos profesinės paslapties prievolės

  1. TEISĖS SUSIPAŽINTI SU SAVO ASMENS DUOMENIMIS ĮGYVENDINIMAS
  2. Duomenų subjektas turi teisę iš www.dantu-implantai.lt direktoriaus gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su savo asmens duomenimis, gauti tvarkomų asmens duomenų kopiją bei informaciją apie:

32.1 asmens duomenų tvarkymo tikslus;

32.2 atitinkamas asmens duomenų kategorijas;

32.3 duomenų gavėjus arba jų kategorijas;

32.4 numatomą asmens duomenų saugojimo laikotarpį arba kriterijus, kuriais vadovaujantis saugojimo laikotarpis yra nustatomas;

32.5 asmens duomenų šaltinius;

32.6 kokiais būdais yra užtikrinama asmens duomenų apsauga;

32.7 kokie automatiniai sprendimai yra atliekami su asmens duomenimis.

  1. www.dantu-implantai.lt direktoriaus atsakyme į prašymą duomenų subjektui taip pat privalo pateikti informaciją apie duomenų subjekto teises, įskaitant teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai bei teisę prašyti ištaisyti arba ištrinti asmens duomenis, apriboti savo asmens duomenų tvarkymą arba nesutikti su asmens duomenų tvarkymu (kai šios teisės yra taikomos).
  2. Jei tam tikra informacija apie duomenų subjektą yra susijusi ir su kitais asmenimis, duomenų subjektui informacijos turi būti pateikta tokia apimtimi, kad nebūtų pažeistos kitų asmenų teisės.
  3. Informacija gali būti nepateikta, jeigu prašymo gavimo dieną, Įmonėje prašomų pateikti duomenų nėra.
  4. 32 punkte numatyta papildomai pateikti informacija gali būti nepateikta, jeigu šie duomenys yra nurodyti asmens duomenų tvarkymo taisyklėse.

XII. TEISĖS REIKALAUTI IŠTAISYTI ASMENS DUOMENIS ĮGYVENDINIMAS

  1. Jei duomenų subjektas mano, kad www.dantu-implantai.lt yra tvarkomi netikslūs ar neišsamūs jo asmens duomenys, jis turi teisę prašyti, kad Įmonė ištaisytų tvarkomus netikslius arba papildytų neišsamius asmens duomenis.
  2. www.dantu-implantai.lt gavusi duomenų subjekto prašymą ištaisyti netikslius arba papildyti neišsamius jo asmens duomenis, ne vėliau kaip per 7 darbo dienas duomenis patikrina turimus duomenis, siekiant nustatyti, ar prašymas yra pagrįstas. Kartu su tikrinamais asmens duomenimis, įmonė išsiunčia atsakymą duomenų subjektui dėl veiksmu, kurių ketina imtis, ėmėsi ar dar imsis tuo pačiu patvirtindama, kad duomenų subjekto prašymą gavo.
  3. Jeigu nustatoma, kad duomenų subjekto prašymas yra pagrįstas, Įmonė privalo:

39.1 ne vėliau kaip per 7 darbo dienas ištaisyti netikslius arba papildyti neišsamius asmens duomenis;

39.1.1 jeigu nėra galimybių nedelsiant ištaisyti netikslius ar papildyti neišsamius asmens duomenis, sustabdyti tokių asmens duomenų tvarkymo veiksmus ir šiuos asmens duomenis saugoti tol, kol jie bus ištaisyti;

39.1.2 ne vėliau kaip per 15 darbo dienų nuo netikslių duomenų ištaisymo ar neišsamių duomenų papildymo, apie atliktus veiksmus informuoti duomenų subjektą ir duomenų gavėjus, išskyrus tuos atvejus, kai informacijos pateikimas duomenų gavėjams yra neįmanomas dėl nepagrįstai didelių sąnaudų.

XIII. TEISĖS REIKALAUTI IŠTRINTI NETEISĖTAI TVARKOMUS ASMENS DUOMENIS (TEISĖS BŪTI PAMIRŠTAM) ĮGYVENDINIMAS

 

  1. Duomenų subjektas turi teisę prašyti ištrinti su juo susijusius asmens duomenis, jei yra vienas iš šių pagrindų:

40.1 asmens duomenys nebėra reikalingi tikslams, kurie buvo nustatyti prieš renkant asmens duomenis;

40.2 atšauktas duomenų subjekto sutikimas, kuriuo vadovaujantis buvo grindžiamas duomenų subjekto asmens duomenų tvarkymas, ir nėra kito teisinio pagrindo tvarkyti subjekto asmens duomenis;

40.3 asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal Reglamento 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti jo asmens duomenis;

40.4 asmens duomenys buvo tvarkomi neteisėtai;

40.5 asmens duomenys turi būti ištrinti, laikantis Europos Sąjungos arba Lietuvos Respublikos teisės aktuose nustatytos teisinės prievolės;

  1. Duomenų subjekto prašyme turi būti išsamiai argumentuota, dėl kokių priežasčių yra prašoma ištrinti jo asmens duomenis, ir nurodytas vienas iš pagrindų, išvardintų 40 punkte.
  2. Teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) Įmonėje neįgyvendinama, kai asmens duomenų tvarkymas yra būtinas:

42.1 siekiant vykdyti Europos Sąjungos ir Lietuvos Respublikos teisės aktuose nustatytą prievolę tvarkyti asmens duomenis, atlikti užduotį vykdant duomenų tvarkytojui pavestas viešosios valdžios funkcijas;

42.2 archyvavimo tikslais viešojo intereso labui;

42.3 siekiant pareikšti, vykdyti ar apginti teisinius Įmonės ar su Įmone susijusių asmenų interesus;

42.4 tvarkant duomenis dėl teisinių įsipareigojimų valstybei tokius duomenis tvarkyti.

  1. Įmonė gavusi duomenų subjekto prašymą ištrinti su juo susijusius asmens duomenis, ne vėliau kaip per 10 darbo dienų įvertina prašymo pagrįstumą.
  2. Jeigu nustatoma, kad prašymas yra pagrįstas, Įmonė privalo:

44.1 ne vėliau kaip per 15 darbo dienų ištrinti su duomenų subjektu susijusius asmens duomenis;

44.2 jei nėra galimybių duomenis nedelsiant ištrinti iš visų sistemų ir dokumentų, sustabdyti duomenų subjekto asmens duomenų tvarkymo veiksmus ir informuoti duomenų subjektą apie tokį veiksmą;

44.3 ne vėliau kaip per 2 darbo dienas nuo asmens duomenų ištrynimo, apie atliktus veiksmus informuoti duomenų subjektą ir duomenų gavėjus, išskyrus tuos atvejus, kai informacijos pateikimas duomenų gavėjams yra neįmanomas dėl pernelyg didelio duomenų subjekto skaičiaus ir nepagrįstai didelių sąnaudų, arba nepateikto atsakymui tinkamo kontakto.

XIV. TEISĖS APRIBOTI SAVO ASMENS DUOMENŲ TVARKYMĄ

ĮGYVENDINIMAS

 

  1. Duomenų subjektas turi teisę prašyti, kad www.dantu-implantai.lt apribotų jo asmens duomenų tvarkymo veiksmus, esant vienam iš šių pagrindų:

45.1. duomenų subjektas užginčija Įmonėje tvarkomų jo asmens duomenų tikslumą. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas apribojamas tokiam laikotarpiui, per kurį Įmonė patikrina asmens duomenų tikslumą;

45.2. yra nustatyta, kad duomenų subjekto asmens duomenų tvarkymas buvo neteisėtas ir duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoje to prašo apriboti jų tvarkymą;

45.3. jeigu Įmonei nebereikia duomenų subjekto asmens duomenų nustatytais duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui, siekiančiam pareikšti, vykdyti ar apginti teisinius, kaip asmens ar verslo subjekto reikalavimus;

45.4. duomenų subjektas vadovaudamasis Reglamento 21 straipsnio 1 dalimi pateikė  prašymą, kuriame išreiškė nesutikimą, kad Įmonė tvarkytų jo asmens duomenis.  Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas, kol bus patikrinta, ar toks duomenų subjekto prašymas yra pagrįstas.

  1. Įmonė, gavusi duomenų subjekto prašymą apriboti jo asmens duomenų tvarkymo veiksmus, ne vėliau kaip per 10 darbo dienų įvertina prašymo pagrįstumą.
  2. Jeigu nustatoma, kad prašymas yra pagrįstas, Įmonė privalo:

47.1. apriboti duomenų subjekto asmens duomenų tvarkymą;

47.2. ne vėliau kaip per 7 darbo dienas nuo sprendimo apriboti asmens duomenų tvarkymą priėmimo, apie atliktus veiksmus informuoti duomenų subjektą ir duomenų gavėjus, išskyrus tuos atvejus, kai informacijos pateikimas duomenų gavėjams yra neįmanomas dėl pernelyg didelio duomenų subjekto skaičiaus ir nepagrįstai didelių sąnaudų.

  1. Prieš panaikindama apribojimą tvarkyti duomenų subjekto asmens duomenis, Įmonė raštu informuoja duomenų subjektą.
  1. TEISĖS NESUTIKTI SU SAVO ASMENS DUOMENŲ TVARKYMU

ĮGYVENDINIMAS

 

  1. Jeigu Įmonė duomenų subjekto asmens duomenis tvarko siekdama įgyvendinti neteisėtus Įmonės interesus, duomenų subjektas turi teisę kreiptis į Įmonę dėl nesutikimo, kad Įmonė ar su Įmonės veikla susiję tretieji asmenys tvarkytų jo asmens duomenis.
  2. Įmonė, gavusi duomenų subjekto prašymą įgyvendinti jo teisę nesutikti su asmens duomenų tvarkymu, ne vėliau kaip per 12 darbo dienų įvertina prašymo pagrįstumą.
  3. Jeigu yra nustatoma, kad duomenų subjekto prašymas yra pagrįstas, Įmonė ne vėliau kaip per 14 dienų informuoja duomenų subjektą, kad jo prašymas bus įvykdytas.
  4. Jeigu yra nustatoma, kad duomenų subjekto prašymas yra nepagrįstas, Įmonė privalo atsakyme argumentuotai įrodyti, kad duomenų subjekto asmens duomenys yra tvarkomi Įmonėje arba su Įmonės vykdoma veikla susijusių trečiųjų šalių dėl teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves.

 XVI . TEISĖS Į ASMENS DUOMENŲ PERKELIAMUMĄ ĮGYVENDINIMAS

  1. Duomenų subjektas turi teisę kreiptis į Įmonę su prašymu gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Įmonei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę prašyti persiųsti šiuos duomenis tokiu pačiu formatu kitam duomenų valdytojui, kai:

53.1. duomenų subjekto asmens duomenų tvarkymas yra grindžiamas:

53.1.1. duomenų subjekto sutikimu;

53.1.2. vykdoma sutartimi tarp Įmonės ir duomenų subjekto;

53.2. asmens duomenys yra tvarkomi automatizuotomis priemonėmis.

  1. Tam, kad būtų įgyvendintas subjekto prašymas dėl teisės į asmens duomenų

perkeliamumą, turi būti įgyvendintos visos 53 punkte nurodytos sąlygos.

  1. Įmonė, gavusi duomenų subjekto prašymą įgyvendinti jo teisę į asmens duomenų perkeliamumą, ne vėliau kaip per 20 dienų įvertina prašymo pagrįstumą.
  2. Informacija gali būti pateikiama:

56.1. duomenų subjektui;

56.2. jei yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui ir, jeigu tokį pageidavimą išreiškė duomenų subjektas savo prašyme.

  1. Jei duomenų subjekto prašymas dėl asmens duomenų perkeliamumo įgyvendinamas, Įmonė nevertina, ar duomenų valdytojas, kuriam bus perkelti duomenų subjekto asmens duomenys, turi teisinį pagrindą juos gauti ir ar šis duomenų valdytojas užtikrins tinkamas asmens duomenų saugumo priemones. neprisiima atsakomybės už perkeltų asmens duomenų tolimesnį tvarkymą, kurį atliks kitas duomenų valdytojas.
  2. Jei duomenis, kurie bus perkeliami, duomenų subjektas pageidauja gauti į savo pristatytą laikmeną, Įmonė neprisiima atsakomybės už perkeltų asmens duomenų tolimesnį tvakymą ir asmens duomenų saugumo priemonių taikymą po perdavimo.

 

XVII. TEISĖ NESUTIKTI IR ATSISAKYTI

 

  1. 59. Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais. Duomenų subjekto atsisakymas tvarkyti jo asmens duomenis tiesioginės rinkodaros tikslais nesuteikia teisės apriboti kitų paslaugų teikimo duomenų subjektui.

59.1. Duomenų subjektas apie teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;

59.2. Duomenų tvarkymo atsisakymo galimybės Duomenų subjektui turi būti prieinamos įvairiomis formomis.

XVIII. TEISIŲ APRIBOJIMAI

  1. LR teise ir ES teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos kai kuriuose straipsniuose nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir ji demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

61.1. nacionalinį saugumą ir gynybą;

61.2. jeigu apribojimai yra būtinai reikalingi demokratinėje visuomenėje;

61.3. visuomenės saugumą  ir Įmonės darbuotojų sveikatos saugą;

61.4. nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;

61.5. kitus ES ar LR svarbius tikslus, susijusius su bendrais viešaisiais interesais, visų pirma svarbiu ekonominiu ar finansiniu ES ar LR interesu, įskaitant pinigų, biudžeto bei mokesčių klausimus, visuomenės sveikatą ir socialinę apsaugą;

61.6. reglamentuojamųjų profesijų etikos pažeidimų prevenciją, tyrimą, nustatymą ir patraukimą baidžiamojon atsakomybėn už juos;

61.7. civilinių ieškinių vykdymo užtikrinimą.

XIX. PRANEŠIMAS PRIEŽIŪROS INSTITUCIJAI APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

  1. Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas, praėjus ne daugiau kaip per 72 valandoms nuo tada kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai.
  2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui.
  3. Kai/jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.
  4. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.
  5. Jeigu duomenų valdytojas dar nėra pranešęs duomenų subjektui apie asmens duomenų saugumo pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavojus, gali pareikalauti, kad jis tą padarytų.
  1. ASMENS DUOMENŲ TECHNINĖ IR ORGANIZACINĖ APSAUGA
  2. Prieiga prie Asmens duomenų suteikiama tik tiems darbuotojams, kuriems ji yra reikalinga jų darbinių funkcijų įgyvendinimui. Su Asmens duomenimis konkretūs darbuotojai gali atlikti tik tuos veiksmus, kuriems atlikti jiems yra suteiktos teisės pagal jų užimamas pareigybes ir atliekamas darbines funkcijas.
  3. Duomenų kopijavimas į išorines laikmenas yra griežtai ribojamas ir kontroliuojamas.
  4. Leidžiamas kilnojamas elektroninis prietaisas, kuriame yra klientų informacija yra planšetinis kompiuteris.

69.1. Įmonės darbuotojai naudodamiesi telefonu gali prisijungti tik prie elektroninio pašto.

  1. Elektroninės sistemos funkcionalumas suprojektuojamas taip, kad galima detaliai nurodyti, prie kokių duomenų ar jų grupių leidžiama prieiga ir kokias funkcijas su jais galima atlikti.
  2. Vartotojų prisijungimo veiksmai prie www.dantu-implantai.lt informacinių sistemų, kuriose tvarkomi asmens duomenys (toliau- AD), taip pat prie AD duomenų bazių ar failų yra griežtai kontroliuojami.
  3. Vartotojų identifikavimas vyksta naudojant slaptažodžius, jie administruojami pagal nustatytas taisykles: slaptažodžių sudėtingumo, keitimo dažnumo, naikinimo, priminimo, saugojimo.
  4. Esant reikalui ar atskirais atvejais pagal duomenų subjekto prašymą, duomenų subjektui priskiriami pseudonimai. Pseudonimų suteikimo tvarką paruošia ir įgyvendina atsakingas už IT ūkį asmuo.
  5. www.dantu-implantai.lt daromos atsarginės kopijos į išorinius atminties įrenginius .
  6. Duomenų perdavimo saugumas elektroninėmis priemonėmis užtikrinamas juos šifruojant. Šifravimas taikomas perduodant asmens duomenis bet kuriuo būdu: vidiniu įstaigos tinklu, inerneto tinklu, elektroniniu paštu ar išorinėse duomenų laikmenose. Šifravimo būdas ir priemonės taikomos priklausomai nuo Asmens duomenų rizikos analizės rezultatų. Už šifravimo priemonių parinkimą atsakingas IT ūkio darbuotojas iš UAB ,,Baltneta” įmonės.
  7. Siunčiant Asmens duomenis išorinėje duomenų laikmenoje arba nepatikrintu elektroniu paštu, duomenys apsaugomi šifravimo priemonėmis, naudojant encrypt’o būdą (slaptažodžiu, kodu).
  8. Už kompiuterių ir serverio priežiūrą yra atsakingas samdomas duomenų tvarkytojas iš UAB ,,Baltneta”.
  9. Ribota prieiga prie serverio arba prie konfidencialių duomenų apdorojimo vietų duomenų tvarkytojų (kitų įmonių) priežiūros paslaugų personalui suteikiama tik esant poreikiui. Šiai prieigai išduodamas atskiras leidimas, o paslaugas atliekantis personalas stebimas.
  10. Įmonės techninių priemonių įgyvendinimą, planų koregavimą, poreikių formavimą, įrangos atnaujinimą ir kitas su duomenimis susijusias saugos priemones administruoja tik vienas už IT ūkį atsakingas asmuo.
  11. Įmonės kompiuteriuose yra tai dienai naujausia, techniškai tvarkinga, iš oficialių šaltinių ar tiekėjų įsigyta įranga, kurią nuolat atnaujina ir prižiūri už įmonės IT ūkį atsakingas asmuo.
  12. Įmonės naudojamų programų administratoriaus teises turi tik įstaigos direktorius ir UAB ,,Baltneta” darbuotojas, ,,Microsoft Ireland LTD.” įsikūrusi Airijoje ir teikianti Outlook sistemos pašto dėžutės priežiūros paslaugą, ,,Circle K” degalinių tinklo kuro apskaitos programa, Interneto vizija, teikianti svetainių domeno priežiūros paslaugas – administratoriaus teises atlikti techninius priežiūros darbus ar programinius pakeitimus, gauna tik su direktoriaus leidimu bei griežta kontrole.
  13. Visi įmonės darbuotojai informuojami apie aprašytus saugumo reikalavimus ir procedūras.
  14. Kad darbuotojai suprastų duomenų saugumo tikslą ir galimą teigiamą ir neigiamą savo elgesio poveikį įmonei, jie yra mokomi duomenų saugos reikalavimų ir darbo su asmens duomenimis principų.
  15. Visi darbuotojai yra pasirašę konfidencialumo pasižadėjimus ir yra pasižadėję saugoti duomenis, kuriuos tvarko darbo metu.
  16. Kompiuteriai, kompiuteriniai tinklai yra apsaugoti antivirusinėmis programomis.
  17. Ne rečiau kaip kartą per 1 metus atliekamas asmens duomenų rizikos vertinimas, pakartotinas auditas.
  18. Telefonu asmeninio pobūdžio informacija neteikiama.

XXI. BAIGIAMOSIOS NUOSTATOS

  1. Su šiomis Taisyklėmis visi Įmonės darbuotojai supažindinami pasirašytinai;
  2. Visoms naudojamoms elektroninėms duomenų tvarkymo, valdymo, apskaitos, informacinės, paslaugų teikimo, prekybos ir pan.sistemomis, Duomenų valdytojas savo jėgomis paruošia bandrąsias, saugos ir funkcionalumo nuostatas, supažindina su jomis atsakingus asmenis, naudotojus bei duomenų subjektus.
  3. Įmonė paskiria atsakingą asmenį už asmens duomenų apsaugą ir darbuotojus, kuriems suteikta teisė tvarkyti asmens duomenis. Atsakingas asmuo atlieka veiksmus ir vykdo darbus vadovaudamasis įmonės duomenų apsaugos ir tvarkymo dokumentacija, LR asmens duomenų teisinės apsaugos įstatymu, bei ES parlamento ir Tarybos reglamentu 2016/679.
  4. Darbuotojai, pasikeitus jų asmens duomenims, raštu informuoja apie tai Įmonės atsakingą asmenį – administratorę arba direktorių, o jie ne vėliau kaip per 5 darbo dienas patikslina ir atnaujina duomenis Darbuotojų asmens bylose ir duomenų bazėse.

91.Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę paskirtas atsakingas už duomenų apsaugos procesų priežiūrą atsakingas asmuo.

  1. Už šių taisyklių pažeidimą, asmenys atsako Lietuvos teisės aktų nustatyta tvarka bei www.dantu-implantai.lt vidaus tvarkos taisyklių nustatyta tvarka.
  2. Atsakingu asmeniu už Įmonės IT ūkio priežiūrą yra paskirtas: UAB ,,Baltneta” kompiuterių ir sistemų priežiūros vadybininkas.
  3. Už asmens duomenų apsaugos reikalavimų vykdymą ir procesų kontrolę Įmonėje yra paskirta duomenų apsaugos pareigūnė.