PREAMBULĖ
Atsižvelgiant į Europos Parlamento ir Tarybos 95/46 (EB) direktyvą, kuri šiuo metu yra perkelta į Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą, taip pat atsižvelgiant į Europos Parlamento ir Tarybos 2016/679 reglamentą, kuris įsigalioja ES valstybėse nuo 2018-05-25, vadovaujantis ES pirminiais ir antriniais teisės šaltiniais, tarptautinės teisės aktais, Lietuvos Respublikos Konstitucija, Lietuvos Respublikos civilinio kodekso bei Darbo kodekso, Lietuvos Respublikos mokesčių administravimo, PVM, buhalterinės apskaitos, socialinio draudimo įstatymais bei Lietuvos Respublikos Vyriausybės ir Finansų ministerijos lydimaisiais teisės aktais, kurie taip pat yra susiję su fizinių asmenų teisine apsauga, UAB „Kuryba“ nustato vidaus tvarkos taisykles ir principus dėl asmens duomenų teisinės apsaugos, nes fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė, t. y. kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą.
Šios taisyklės ir principai taikomi UAB „Kuryba“ ir Klientų, kurie naudojasi, naudojosi, išreiškė ketinimą naudotis arba yra kaip nors kitaip susiję su UAB „Kuryba“ teikiamomis paslaugomis, tarpusavio santykiams, įskaitant santykius su Klientais atsiradusius iki šių taisyklių ir principų įsigaliojimo. Teisė į asmens duomenų apsaugą nėra absoliuti, todėl taisyklėse nustatytos nuostatos ir įtvirtinti principai yra reglamentuoti atsižvelgiant į asmens duomenų teisinės apsaugos visuomeninę paskirtį ir derinami su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu bei UAB „Kuryba“ vykdoma ūkine – finansine veikla.
UAB „Kuryba“ įgyvendina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės užtikrina tokį saugumo lygį, kuris atitinka saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir išdėstytos šiose rašytinėse taisyklėse.
UAB „Kuryba“ įgaliodama atsakingus asmenis tvarkyti asmens duomenis, nustato, kad duomenys turi būti tvarkomi tik pagal įminės vadovo ir jo įgaliotų asmenų nurodymus bei teisės aktų reikalavimus.
Taisyklės ir asmens duomenų tvarkymo principai taikomi visiems fiziniams asmenims, tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą.
- I. BENDRIEJI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
- Šiuose asmens duomenų tvarkymo principuose pateikiama informacija, kaip UAB „Kuryba“ tvarko asmens duomenis bei šiais asmens duomenų tvarkymo principais privalo vadovautis visi įmonės darbuotojai, kurie bet kokiu būdų gavo, gauna ar sužino asmens duomenis, juos tvarko ar užtikrina asmens duomenų apsaugą.
- UAB “Kuryba” darbuotojai ir įgalioti atstovai privalo užtikrinti, kad asmens duomenys įmonėje būtų renkami apibrėžtais bei teisėtais tikslais ir toliau nebūtų tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis, t. y. tikslai apibrėžti, teisėti ir iš anksto duomenų subjektui žinomi.
- Pirmiausiai turi būti nustatyti tikslai ir vėliau renkami asmens duomenys, o ne atvirkščiai. Ankstesni teisėtai ir dėl tam tikrų tikslų surinkti asmens duomenys, negali būti panaudojami kitiems tikslam, jei nebuvo gautas atskiras asmens sutikimas.
- UAB „Kuryba“ darbuotojai ir įgalioti atstovai privalo asmens duomenis panaudoti kitais tikslais tik tada, kai yra asmens sutikimas, tai nustato įstatymas ar tai būtina dėl viešojo intereso gynimo.
- UAB “Kuryba” darbuotojai ir įgalioti atstovai privalo užtikrinti, kad asmens duomenys būtų tvarkomi tiksliai, sąžiningai ir teisėtai, t. y. teisės aktų nustatyta tvarka gaunami, renkami ir saugomi asmens duomenys, asmuo sąžiningai turi būti informuotas apie duomenų panaudojimo tikslus, jų gavimo būdus ir saugojimo trukmę. Negali būti duomenys gaunami apgaulės būdu ar kitaip iškreipiant asmens valią dėl duomenų perdavimo.
- UAB “Kuryba” darbuotojai ir įgalioti atstovai privalo užtikrinti, kad asmens duomenys būtų tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami. Netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas. Duomenys yra netikslūs jei jie yra klaidinantys ar neteisingi ryšium su fakto klausimu.
- UAB “Kuryba” darbuotojai ir įgalioti asmenys privalo užtikrinti, kad asmens duomenys būtų renkami tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti. Draudžiama rinkti perteklinius duomenis, kurie nereikalingi tikslui pasiekti. Turi būti proporcija (adekvatumas) tarp duomenų kiekio ir norimo tikslo, t. y. duomenų turi būti tik tiek, kiek jų reikia ir ne daugiau.
- UAB “Kuryba” darbuotojai ir įgalioti atstovai privalo užtikrinti, kad asmens duomenys būtų saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi, t. y. asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams.
- Sutikimas dėl asmens duomenų tvarkymo turi būti duotas žinomai. Turi nekilti jokių abejonių dėl sutikimo turinio ir sąlygų bei asmens valios išreiškimo.
- Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Įmonė sudaro sąlygas atšaukti sutikimą taip pat lengvai kaip jį duoti.
- Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją, teistumą ar baustumą.
- UAB „Kuryba“ darbuotojai ir įgalioti atstovai asmens duomenis turi teisę tvarkyti, kai:
- Ø duomenų subjektas duoda sutikimą;
- Ø sudaroma arba vykdoma sutartis, kai viena iš šalių yra duomenų subjektas;
- Ø pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis;
- Ø įgyvendinami oficialūs įgaliojimai, įstatymais ir kitais teisės aktais suteikti valstybės bei savivaldybių institucijoms, įstaigoms ir įmonėms arba trečiajam asmeniui, kuriam teikiami asmens duomenys;
- Ø reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni;
- Ø toks tvarkymas yra būtinas darbo tikslais duomenų valdytojo teisėms ir prievolėms darbo teisės srityje įgyvendinti įstatymų nustatytais atvejais;
- Ø duomenų subjektas asmens duomenis paskelbė viešai;
- Ø jie yra reikalingi bylai nagrinėti teisme.
- Asmens duomenų teisinės apsaugos principai turi būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė iš duomenų yra nustatyta arba gali būti nustatyta.
- UAB „Kuryba“ užtikrina asmens duomenų konfidencialumą pagal galiojančius teisės aktų reikalavimus ir tinkamų techninių bei organizacinių priemonių, skirtų apsaugoti asmens duomenis nuo neteisėtos prieigos, atskleidimo, atsitiktinio praradimo, pakeitimo ar sunaikinimo ar kitokio neteisėto tvarkymo, įgyvendinimą.
- UAB „Kuryba“ asmens duomenų tvarkymui turi teisę pasitelkti duomenų tvarkytojus, tačiau imasi reikiamų priemonių siekiant užtikrinti, kad tokie duomenų tvarkytojai, asmens duomenis tvarkytų, laikydamiesi įmonės nurodymų ir galiojančių teisės aktų bei reikalaus, jog minėti asmenys įgyvendintų tinkamas asmens duomenų saugos priemones.
- UAB „Kuryba“ valstybės ir savivaldybių institucijoms, teisėsaugos institucijoms ir teismas, kitiems tretiesiems asmenims, kuriems įstatymai suteikia teise gauti, rinkti ir tvarkyti asmens duomenis, asmens duomenis pateikia tik gavusi rašytini minėtų asmens duomenų gavėjo prašymą, kuris yra pagrįstas ir motyvuotas.
- Jei kyla pagrįstos abejonės dėl gauto prašymo pagrįstumo, teisėtumo ir tinkamumo, tai UAB „Kuryba“ kreipiasi į prašymo teikėją, kad šis patikslintų ar tinkamai nurodytų teisinius pagrindus ir motyvus dėl asmens duomenų pateikimo būtinybės bei apimties.
- Jei kyla abejonių dėl gauto prašymo pagrįstumo, įmonės vadovas ar jo įgalioti asmenys taip pat informuoja asmens duomenų teisinės apsaugos priežiūros instituciją, jog ši suteiktų atitinkamas konsultacijas bei pateiktų atitinkamas išvadas.
- Siekiant nepažeisti trečiųjų asmenų teisės į jų privataus gyvenimo neliečiamumą, įgyvendinant duomenų subjekto teisę susipažinti su savo asmens duomenimis, t. y. išduodant dokumentų kopijas ar kitą informaciją, turi būti teikiami tik su pačiu duomenų subjektu susiję asmens duomenys. Tokiu atveju būtina pateikti tik tiek asmens duomenų, kiek jų prašo duomenų subjektas apie save, t. y. nuasmeninti dokumentų kopijas, pavyzdžiui, užtušuoti trečiųjų asmenų duomenis, daryti šių dokumentų išrašus ir pan.
- UAB „Kuryba“ informuoja asmens duomenų subjektą apie gautus prašymus dėl jo asmens duomenų perdavimo tretiesiems asmenims. Įmonė perdavusi asmens duomenis kitiems duomenų gavėjams, asmens duomenų subjektui pateikia informaciją, kokius, kam ir kokiu tikslu buvo perduoti asmens duomenys.
- UAB „Kuryba“ taiko prevencines priemones, kad asmens duomenys negalėtų neteisėtai patekti pas trečiuosius asmenis, t. y. pasibaigus kalendoriniams metams, per sekančių metų III ketvirtį, atlieka įmonės vidaus dokumentų ir elektroninių laikmenų reviziją. Informacija, kuri yra nereikalinga, iš elektroninių laikmenų pašalinama/panaikinama. Dokumentai, kurie nereikalingi yra naikinami. Dokumentai, kurie turi būti saugomi, yra archyvuojami ir perduodami saugoti į archyvą teisės aktų nustatyta tvarka bei vadovaujantis šių taisyklių nuostatomis.
- UAB „Kuryba“ savo veikloje naudoja tik sertifikuotą, teisės aktus atitinkančią programinę įrangą, kompiuterines programas ir kitas telekomunikacines priemones. Paslaugų teikėjai turi būti atestuoti bei atitinkamą kvalifikaciją turintys juridiniai ar fiziniai asmenys.
- Parenkant organizacines ir technines duomenų saugumo priemones UAB „Kuryba“ privalo vadovautis Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12.) (toliau – Bendrieji reikalavimai).
- Teikiant asmens duomenis išoriniais duomenų perdavimo tinklais, turi būti užtikrinamas saugių protokolų (pvz., https) ir (arba) slaptažodžių naudojimas.
- UAB „Kuryba“ socialiniame tinklapyje www.facebook.com asmenų duomenys gali pateikti tik tuos, dėl kurių asmuo davė aiškų sutikimą. Sutikimas turi būti rašytinės formos ar kitaip akivaizdžiai išreikštas. Tačiau sutikimo išreiškimas turi būti toks, kad vėliau UAB „Kuryba“ galėtų įrodyti asmens davusio sutikimą valios išraišką. Įmonė asmeniui privalo aiškiai nurodyti, kokie duomenis bus renkami ar gaunami, kokiu tikslu šie duomenys bus platinami, kiek laiko asmens duomenys bus viešoje erdvėje. Asmeniui turi būti sudaryta galimybė pasirinkti terminus dėl jo duomenų saugojimo terminų viešoje erdvėje.
- Kad nebūtų pažeistos trečiųjų asmenų teisės ir jei nuotraukoje yra keli asmenys, tai kiekvienas asmuo, esantis nuotraukoje, turi duoti sutikimą, kad jo asmens duomenys būtų skleidžiami viešoje erdvėje.
- UAB „Kuryba“ internetiniame tinklapyje www.kuryba.eu asmenų duomenys gali pateikti tik tuos, dėl kurių asmuo davė aiškų sutikimą. Sutikimas turi būti rašytinės formos ar kitaip akivaizdžiai išreikštas. Tačiau sutikimo išreiškimas turi būti toks, kad vėliau UAB „Kuryba“ galėtų įrodyti asmens davusio sutikimą valios išraišką. Įmonė asmeniui privalo aiškiai nurodyti, kokie duomenis bus renkami ar gaunami, kokiu tikslu šie duomenys bus platinami, kiek laiko asmens duomenys bus informacinės sistemos erdvėje. Asmeniui turi būti sudaryta galimybė pasirinkti terminus dėl jo duomenų saugojimo terminų informacinės sistemos erdvėje.
- Siekiant sustiprinti teisę būti pamirštam internetinėje aplinkoje, teisė prašyti ištrinti duomenis išplečiama taip, kad jei UAB „Kuryba“ asmens duomenis paskelbė viešai, tai įmonė privalo informuoti tokius asmens duomenis, tvarkančius duomenų valdytojus, kad jie ištrintų visus saitus į tuos asmens duomenis, jų kopijas ar dublikatus.
II. SĄVOKOS
1. Asmens duomenys – bet kuri informacija, susijusi su žmogumi, iš kurios galima nustatyti jo tapatybę tiek tiesiogiai, tiek netiesiogiai pagal fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymius. Asmens duomenimis laikoma, pvz., vardas, pavardė, gyvenamosios vietos adresas, veido atvaizdas, asmens kodas, pirštų atspaudai, akies rainelė, telefono numeris, elektroninio pašto adresas, interneto protokolo (IP) adresas, automobilio numeris ir t. t.
2. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas ar veiksmų rinkinys (rinkimas, užrašymas, saugojimas, grupavimas, jungimas, keitimas, paskelbimas, paieška, naikinimas ir t. t.).
3. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, atliekami elektroninėmis priemonėmis, t. y. įvairiomis informacijos ir ryšių priemonėmis: kompiuteriais, telefonais, planšetiniais kompiuteriais, išmaniaisiais laikrodžiais, vaizdo registratoriais, fotoaparatais, diktofonais ir kt.
4. Klientas (duomenų subjektas)– kiekvienas žmogus, kurio asmens duomenys yra tvarkomi, t. y. bet kuris fizinis asmuo, kuris naudojasi, naudojosi, išreiškė ketinimą naudotis arba yra kitaip susijęs su UAB „Kuryba“ teikiamomis paslaugomis.
5. UAB „Kuryba“ (duomenų valdytojas) – juridinis asmuo, kuris naudoja asmens duomenis profesiniais tikslais, kuris nustato duomenų tvarkymo tikslus ir priemones, t. y. kokiu apibrėžtu ir teisėtu tikslu, teisiniu pagrindu vadovaudamasis ir kokius asmens duomenis tvarko, kam teikia, kaip užtikrina duomenų subjekto teises, kokią programinę įrangą naudoja duomenims tvarkyti ir kt.
6. Duomenų gavėjas – juridinis ar fizinis asmuo, kuriam teikiami asmens duomenys
7. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus, išskyrus paskelbimą visuomenės informavimo priemonėse.
8. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis.
9. Ypatingi asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą. Ypatingi asmens duomenys yra ir asmens kodas.
- Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti ypatingus asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto išreikštą valią.
- Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje.
- Profiliavimas–bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.
- Pseudonimų suteikimas–asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti.
- Trečioji šalis–fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
- Asmens duomenų saugumo pažeidimas–saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
- Sveikatos duomenys–asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
- Įmonei privalomos taisyklės–asmens duomenų apsaugos politikos nuostatos, kurių duomenų valdytojas arba duomenų tvarkytojas laikosi, perduodamas asmens duomenis arba atlikdamas perdavimų seką vienos ar daugiau trečiųjų valstybių duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei.
III. ASMENS DUOMENŲ TVARKYMO TIKSLAI IR PAGRINDAS
- 1. Sutartiniai civiliniai teisiniai santykiai
1.1. Esant civiliniams sutartiniams teisiniams santykiams, asmens duomenų rinkimas yra vykdomas ta apimtimi, kurią nustato teisės aktai ir būtinybė tinkamai vykdyti sandorius. Renkami duomenys ryšiams palaikyti: vardas pavardė, adresas, telefono numeriai, el. pašto adresai.
1.2. Duomenys apie ryšius su juridiniais ar fiziniais asmenimis, klientas privalo pateikti, kai yra atstovavimas trečiosios šalies asmens vardu tikslais. Asmuo privalo pateikti įstatymų nustatytos formos įgaliojimą ar prokūrą. Minėtų dokumentų kopijos nėra daromos.
1.3. Jei klientas sandoriuose pageidauja ir siekia gauti tam tikrus mokėjimo atidėjimus bei kitas finansines privilegijas, dėl kurių finansinė našta ir rizika tenka UAB „Kuryba“, tai klientas turi pateikti adekvačius ir proporcingus finansinius duomenis ir duomenis, susijus su kliento patikimumu ir veiklos vertinimu, t. y. duomenis apie sąskaitas, turima nuosavybę, sandorius, paskolas, pajamas ir įsipareigojimus.
1.4. Kiekvienu atveju, atsižvelgdami į sutartinius santykius, įmonės galimą naštą ir riziką, atsakingi įmonės darbuotojai įvertina duomenų apimties gavimo poreikį bei renka tik tuos duomenis, kurie būtini tikslui pasiekti.
1.5. Jei įgyvendinami tikslai, kurie numatyti šių taisyklių 4.3. ir 4.4. punktuose, tai galima rinkti duomenis apie kliento rezidavimo vietą mokesčių tikslais, t. y. duomenys apie šalį, kurioje yra kliento gyvenamoji vieta, mokesčių mokėtojo identifikacinis numeris, pilietybė.
1.6. UAB „Kuryba“ dėl sutarties su klientu sudarymo ir vykdymo, dėl duomenų apie klientą atnaujinimo bei siekiant užtikrinti jų teisingumą, turi teisę naudotis išoriniais ir vidiniais registrais, kai tai yra būtina vykdant sutartį ar siekiant imtis veiksmų kliento prašymu prieš sutarties sudarymą ar vykdant teisinę pareigą. Įmonės veiksmai dėl asmens duomenų rinkimo ar gavimo turi būti adekvatūs ir proporcingi.
1.7. Išrašomose PVM sąskaitose – faktūrose, gaunamose PVM sąskaitose – faktūrose, ar sąskaitose, krovinio važtaraščiuose, CMR dokumentuose, pinigų priėmimo kvituose, kasos išlaidų orderiuose ir kituose dokumentuose, kuriuose fiksuojamos ūkinės – finansinės operacijos, daromi asmens duomenų įrašai tik tie, kurie yra būtini ir kuriuos nustato įstatymai.
1.8. UAB „Kuryba“ įmonės vadovas ar jo įgalioti asmenys padaro pavyzdinius dokumentus, kuriuose nurodo, kurie asmens duomenys yra būtini įrašyti ir kuriuos nustato įstatymas. Su šiame punkte nurodyta informacija pasirašytinai yra supažindinti atsakingi asmenys, kurie vykdo ūkines – finansines operacijas.
1.9. Asmens duomenims, kurie gauti sutartiniuose civiliniuose teisiniuose santykiuose, privalo būti taikomi asmens duomenų teisinės apsaugos principai, kurie nurodyti šiose tvarkos taisyklėse.
1.10 .Jei asmuo savanoriškai pateikė papildomus, t. y. perteklinius asmens duomenis, tai laikytina, jog asmuo savo konliudentiniais veiksmais davė sutikimą, kad minėti asmens duomenys būtų renkami, vertinami ir tačiau tinkamai tvarkomi civiliniuose sutartiniuose teisiniuose santykiuose.
1.12. Asmens duomenis, kurie gauti sutartiniuose civiliniuose teisiniuose santykiuose, privalo būti archyvuojami įstatymų nustatyta tvarka. Po poreikio juos saugoti būtinybės išnikimo dienos, turi būti tinkamai įgyvendinama asmens teisė „būti pamirštam“.
1.11. Atsižvelgiant, kad civiliniams teisiniams santykiams yra taikomas bendrasis 10 metų senaties terminas bei atskiriems civiliniams santykiams įstatymai nustato trumpesnius senaties terminus, kad mokesčių administravimo įstatymas, socialinio draudimo įstatymas ir kiti teisės aktai nustato 5 metų senaties terminus ar trumpesnius, asmenų sutartys, kurios yra nutrauktos ar pasibaigusios prieš 5 metus ir anksčiau, bei dėl kurių nevyksta tarp UAB „Kuryba“ ir kliento teisminių procesų, vadovaujantis Lietuvos Respublikos dokumentų ir archyvų įstatymo (Valstybės žinios, 1995-12-30, Nr. 107-2389) nuostatomis, turi būti priduotos tolesniam saugojimui į archyvą. Taip bus užtikrintas tolimesnis dokumentų efektyvus valdymas ir prieinamumas, dokumentai bus apsaugoti nuo sugadinimo, praradimo, neteisėto naudojimosi, pakeitimo, sunaikinimo.
1.12. UAB „Kuryba“ turi teisę rinkti asmens duomenis dėl papildomų paslaugų klientui teikimo, dėl kliento nuomonės teiravimosi, dėl rinkos tyrimo ir statistinių duomenų, dėl žaidimų ir akcijų organizavimo, dėl teisėto intereso įmonės paslaugų gerinimui bei naujų produktų įvedimo į rinką ir naujų paslaugų teikimui.
1.13. Kiekvienu konkrečiu atveju, kuris paminėtas 4.13. punkte ar jame nėra paminėtas, UAB „Kuryba“ klientams ar asmenims privalo aiškiai pateikti asmens duomenų rinkimo tikslus, kokie duomenys bus renkami ir kiek laiko gauti duomenys bus saugomi. Asmuo savo sutikimą turi pateikti raštu ir pažymėti, kad suprato duomenų rinkimo tikslus, duomenų rinkimo apimtį ir gautų duomenų saugojimo terminus.
1.14. Asmens duomenis, kurie gauti dėl papildomų paslaugų klientui teikimo, dėl kliento nuomonės teiravimosi, dėl rinkos tyrimo ir statistinių duomenų, dėl žaidimų ir akcijų organizavimo, dėl teisėto intereso įmonės paslaugų gerinimui bei naujų produktų įvedimo į rinką ir naujų paslaugų teikimui, privalo būti sunaikinti įstatymų nustatyta tvarka per 3 mėnesius nuo poreikio juos saugoti būtinybės išnikimo dienos, t. y. turi būti tinkamai įgyvendinama asmens teisė „būti pamirštam“.
1.15. Atliekant pardavimo operacijas per E-parduotuvę, turi būti atribojami klientai ir jų duomenų pateikimo apimtys.
1.16. Klientas (juridinis ar fizinis asmuo) vykdantis ūkinę – komercinę veiklą bei pageidaujantis įsigyti prekes ne savo asmeniniams poreikiams tenkinti, privalo pateikti duomenis, kurie būtini sandoriui vykdyti ir kuriuos nustato teisės aktai.
1.17. Klientas (vartotojas), kuris pageidauja įsigyti prekes savo asmeniniams poreikiams tenkinti, privalo pateikti duomenis, kurie būtini prekės pristatymui, t. y. vardas ir pavardė bei adresas. Tačiau asmuo gali nurodyti tik adresą ir slapyvardį su atpažinimo kodu, jei prekes pristato kurjerio tarnyba ir prekes kurjeris įteikia asmeniškai.
2 Asmens duomenų gavėjai
2.1. Asmens duomenis yra perduodami gavėjams, tokiems kaip:
2.2. Valstybės įstaigos ir institucijos, kiti asmenys, vykdantys įstatymų jiems pavestas funkcijas. Duomenys perduodami pagal raštų pateiktą paklausimą ar privalomai pagal teisės aktų nustatytus reikalavimus.
2.3. Kredito ir finansų įstaigos, trečiosios šalys, dalyvaujančios prekybos, atsiskaitymo ir atskaitomybės cikle. Duomenys perduodami tik tie, kurie reikalingi įvykdyti atsiskaitymo procedūras ar privalomai pagal teisės aktų nustatytus reikalavimus.
2.4. Auditoriai, teisės ir finansų konsultantai. Duomenys perduodami tik tie, kurie reikalingi užduoties įvykdymui. Pasirašomas konfidencialios informacijos saugojimo susitarimas.
2.5. Trečiosios šalys tvarkančios registrus arba kurios tarpininkauja teikiant asmens duomenis iš tokių registrų. Duomenys perduodami pagal raštų pateiktą paklausimą ar privalomai pagal teisės aktų nustatytus reikalavimus.
2.6. Skolų išieškojimo įmonės, kurioms perleidžiami reikalavimai į kliento įsiskolinimą, teismai, neteisminės ginčų nagrinėjimo institucijos ir bankroto administratoriai. Duomenys perduodami tik tie, kurie reikalingi užduoties įvykdymui, pagal pateiktą paklausimą ar privalomai pagal teisės aktų nustatytus reikalavimus. Su atitinkamais asmenimis gali būti pasirašomas konfidencialios informacijos susitarimas.
2.7. Asmenys, kurie užtikrina tinkamą kliento įsipareigojimų UAB „Kuryba“ vykdymą, tokie kaip laiduotojai, garantai, įkaitų davėjai. Duomenys perduodami pagal raštų pateiktą paklausimą. Duomenys perduodami tik tie, kurie reikalingi užduoties įvykdymui.
2.8. Kiti asmenys, susiję su UAB „Kuryba“ paslaugų teikimu, tokie kaip archyvavimo, pašto paslaugų teikėjai, kitos įgaliotosios šalys, t. y. buhalterinės apskaitos įmonė „Gisera“, sandėlio – buhalterinės programos „Rivilė“ priežiūros įmonė, individualią veiklą vykdantis kompiuterių ir jų tinklų priežiūrą asmuo. Duomenys perduodami tik tie, kurie reikalingi užduoties įvykdymui. Su įgaliotais asmenimis turi būti pasirašomas konfidencialios informacijos susitarimas.
2.9. UAB „Kuryba“ naudoja saugius, patikimus ir sertifikuotus duomenų perdavimo kanalus. Jei kyla abejonių dėl asmens duomenų perdavimo kanalo saugumo, įmonė deda visas pastangas išsiaiškinti probleminius klausimus, kad būtų pašalintos visos abejones dėl asmens duomenų perdavimo kanalo saugumo.
- IV. KLIENTO, KAIP DUOMENŲ SUBJEKTO, TEISĖS
1. Reikalauti ištaisyti jo asmens duomenis, jeigu jie yra neteisingi, neišsamūs arba netikslūs.
2. Nesutikti, kad būtų tvarkomi jo asmens duomenys, jeigu asmens duomenų tvarkymo pagrindas yra teisėti interesai, įskaitant rinkodaros tikslus.
3. Reikalauti ištrinti jo asmens duomenis, kurie yra tvarkomi tik su jo sutikimu, jei klientas atšaukia atitinkamą sutikimą. Ši teisė yra ribojama, jei asmens duomenys, kuriuos prašoma ištrinti, yra tvarkomi ir kitu teisiniu pagrindu, tokiu kaip tvarkymas būtinas sutarties vykdymui arba yra pareigos pagal taikomus teisės aktus vykdymas.
4. Gauti formaciją apie tai, ar UAB „Kuryba“ tvarko jo asmens duomenis ir, jei taip, susipažinti su jais.
5. Gauti jo paties pateiktus asmens duomenis, kurie tvarkomi jo sutikimo ar sutarties vykdymo pagrindu, raštu ar bendrai naudojama elektronine forma ir, jei įmanoma, perduoti tokius duomenis kitam teikėjui.
6. Atšaukti savo sutikimą tvarkyti asmens duomenis.
7. Jei asmuo mano, kad jo asmens duomenys tvarkomi pažeidžiant jo teises ir teisėtus interesus pagal taikomus teisės aktus, gali pateikti skundą dėl asmens duomenų tvarkymo UAB „Kuryba“ vadovui. UAB „Kuryba“ privalo per 3 darbo dienas nuo skundo gavimo dienos išnagrinėti asmens skundą bei raštu pateikti motyvuotą ir pagrįstą atsakymą.
8. Asmuo, nesutikdamas su UAB „Kuryba“ priimtu sprendimu, gali pateikti skundą dėl asmens duomenų tvarkymo Valstybinei duomenų apsaugos inspekcijai, kurios interneto svetainės adresas www.ada.lt.
9. Klientas turi teisę kreiptis į UAB „Kuryba“, siekdamas pateikti paklausimus, atšaukti duotus sutikimus, teikti prašymus ar skundus dėl duomenų subjekto teisių įgyvendinimo.
UAB „Kuryba“
Europos pr.85, Kaunas LT-46333
Tel. Nr. +37069821802
El. p. kuryba@kuryba.eu
Direktorius Marius Darulis
- V. REAGAVIMAS Į ASMENS DUOMENŲ APSAUGOS PAŽEIDIMUS
1. Asmens duomenų saugumo pažeidimo atveju UAB „Kuryba“ atsakingi asmenys nepagrįstai nedelsdami ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jie sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša teisėsaugos institucijai ir priežiūros institucijai, kuri yra kompetentinga Lietuvos Respublikos teritorijoje, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.
2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas apie tai praneša duomenų valdytojui ir pranešime nurodo:
a) aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijas ir apytikslį skaičių;
b) nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
c) aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
d) aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, kai tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti.
3. Jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.
4. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.
- VI. TAISYKLIŲ IR PRINCIPŲ GALIOJIMAS BEI PAKEITIMAS
1. Klientas su UAB „Kuryba“ vidaus tvarkos taisyklių ir veiklos principais dėl asmens duomenų teisinės apsaugos santrauka bei atitinkamomis nuostatomis gali susipažinti internete www.kuryba.eu.
2. UAB „Kuryba“ turi teisę bet kuriuo metu vienašališkai pakeisti šias taisykles ir principus, informuodama klientus apie esminius pasikeitimus interneto svetainėje www.kuryba.eu, taip pat informuodama klientus paštu ar el. paštu, SMS žinute ar kitais būdais.
3. Pagal skaidrumo principą visuomenei arba duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba ir, be to, prireikus naudojamas vizualizavimas. Informacija turėtų būti pateikta elektronine forma, pavyzdžiui, interneto svetainėje, kai ji skirta viešai paskelbti.
4. UAB „Kuryba“ turi sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. UAB „Kuryba“ privalo į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdama ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių kliento pateiktų prašymų.
5. UAB „Kuryba“ privalo pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą.