Prekių grąžinimo politika Asmens duomenų tvarkymas Privatumo politika Naudojimosi taisyklės

UAB „IZABELITA“ ASMENS DUOMENŲ TVARKYMO BENDROSIOS TAISYKLĖS

PATVIRTINTA:
UAB „IZABELITA“ direktorius
2024 m. spalio 09 d. įsakymu Nr. 01

  1. Bendrosios nuostatos
    1. UAB „IZABELITA“ asmens duomenų tvarkymo bendrosios taisyklės (toliau – Taisyklės) nustato bendrovėje UAB „IZABELITA (juridinio asmens kodas: 148166495, buveinės adresas: Darbo a. 5, LT-35220 Panevėžys,, Tel. Nr. +370 610 25506) (toliau – Bendrovė) taikomas su duomenų apsauga susijusias bendrąsias taisykles, kurios kartu su priedais sudaro Bendrovės privatumo politiką (toliau – Privatumo politika).
    2. Įgyvendinant Bendrovėje taikomą duomenų apsaugą vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, bei atsižvelgiama į duomenų apsaugą reguliuojančius kitus teisės aktus ir šaltinius.
    3. Taisyklėse vartojamos sąvokos:
    4. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
      1. Atsakingas asmuo – Bendrovės vadovo paskirtas asmuo, kuris yra atsakingas už Bendrovės Privatumo politikos įgyvendinimą. Jei atskiro paskyrimo nėra, atsakingas už Bendrovės Privatumo politikos įgyvendinimą yra Bendrovės vadovas;
      2. Duomenų valdytojas – Bendrovė.
      3. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis; 
      4. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;
      5. Pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;
      6. Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;
      7. Pseudonimų suteikimas– asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;
      8. Saugos įgaliotinis – Bendrovės vadovo paskirtas asmuo, kuris yra atsakingas už Bendrovėje tvarkomų asmens duomenų saugumą, saugumo priemonių taikymą ir įgyvendinimą. Jei atskiras asmuo nėra paskirtas, saugos įgaliotinio funkcijas atlieka Bendrovės vadovas. 
      9. Trečioji šalis– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;
      10. Vertinimas – poveikio duomenų apsaugai vertinimas;
      11. Veiklos įrašai – Bendrovėje atliekami asmens duomenų tvarkymo operacijų veiklos įrašai;
    5. Kitos Taisyklėse vartojamos sąvokos atitinka Reglamente vartojamas sąvokas.
    6. Taisyklės ir jų priedai parengti vadovaujantis Reglamentu, Lietuvos Respublikos asmens duomenų apsaugos įstatymu bei kitais teisės aktais, reglamentuojančiais duomenų apsaugą.
    7. Bendrovės Privatumo politiką taip pat sudaro ir kiti Bendrovės vidiniai ir (ar) viešai skelbiami dokumentai bei pranešimai, kuriuose nurodoma, kad jie yra Privatumo politikos dalis.
    8. Taisyklių ir jų priedų nuostatai, išskyrus Taisyklėse nurodytas išimtis, yra privalomos Bendrovės vadovui ir visiems Bendrovės darbuotojams.
  2. Asmens duomenų tvarkymo pagrindai
    1. Bendrovė asmens duomenis tvarko tik esant bent vienam iš šių teisinių pagrindų:
      1. Duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
      2. Duomenų tvarkymas yra būtinas siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
      3. Duomenų tvarkymas yra susijęs su sutarties vykdymu, turint tikslą ją įvykdyti tinkamai, laiku.
      4. Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
      5. Tvarkyti duomenis būtina, siekiant apsaugoti duomenų subjekto ar kito asmens gyvybinius interesus (pavyzdžiui, Įstaiga tvarko darbuotojo artimųjų kontaktinius duomenis, su kuriais galėtų susisiekti įvykus nelaimei ar ekstremaliam įvykiui);
      6. Duomenų tvarkymas yra būtinas viešojo intereso labui arba vykdant pavestas viešosios valdžios funkcijas;
      7. Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už šiuos duomenų valdytojo teisėtus interesus viršesni, ypač kai duomenų subjektas yra vaikas (pavyzdžiui, Įstaiga vykdo vaizdo stebėjimą darbuotojų, kitų duomenų subjektų ir turto saugumo užtikrinimo tikslu.
    2. Bendrovė specialių kategorijų asmens duomenis tvarko tik esant bent vienam iš šių pagrindų:
      1. Tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Europos Sąjungos arba valstybės narės teisėje arba pagal valstybės narės teisę sudaryta kolektyvine sutartimi, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;
      2. Tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;
      3. Tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;
      4. Tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
      5. Tvarkyti duomenis būtina dėl svarbių viešojo intereso priežasčių, vadovaujantis Europos Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų;
      6. Tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą;
      7. Tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai.
  3. Pagrindiniai asmens duomenų tvarkymo principai
    1.  Asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai (teisėtumo, sąžiningumo ir skaidrumo principas);
    2. Asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis (tikslo apribojimo principas); Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais. Įstaigos darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašyme ar kitame Įstaigos lokaliniame teisės akte arba Įstaigos vadovo pavedimu ir tik teisės aktų nustatyta tvarka. Įstaigos darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis;
    3. Tvarkomi asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
    4. Tvarkomi asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
    5. Tvarkomus asmens duomenis laikyti tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama Reglamente siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
    6. Tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
    7. Duomenų valdytojas yra atsakingas ir turi sugebėti įrodyti, kad yra laikomasi principų (atskaitomybės principas).
    8. Už asmens duomenų tvarkymo principų laikymąsi atsako Bendrovės vadovas ar jo paskirtas atsakingas asmuo.
  4. Duomenų subjektų teisės
    1. Duomenų subjektų Reglamente įtvirtintos teises ir jų įgyvendinimas Bendrovėje yra nustatytas Duomenų subjektų teisių įgyvendinimo bendrovėje UAB „Izabelita“ tvarkoje (skelbiamoje internetinėje svetainėje, skiltyje „Privatumo politika“), o jai nesant, skelbiama Bendrovės el. laiško parašo nuorodoje „čia“. Bendrovei ir duomenų subjektui nevykdant bendravimo el. laiškais, informacija apie duomenų subjektų turimas teises ir jų įgyvendinimą pateikiama žodžiu ar susipažįstant su dokumentacija gyvai Bendrovės buveinėje.
    2. Taisyklių bei paskelbtomis jų dalimis privalo vadovautis ir jų laikytis visi Bendrovės darbuotojai.
  5. Bendrovėje tvarkomi duomenys ir bendrosios jų tvarkymo sąlygos
    1. Duomenų subjektų pagal atskiras jų kategorijas Bendrovėje tvarkomi konkretūs asmens duomenys, jų tvarkymo teisiniai pagrindai, tikslai, saugojimo terminai ir perdavimas trečiosioms šalims nurodomi Duomenų tvarkymo veiklos įrašuose.
    2. Bendrovės darbuotojai, kurie pagal jų vykdomas darbines funkcijas neturi teisės tvarkyti atskirų kategorijų duomenų subjektų duomenų, privalo vengti situacijų, kurių metu jiems būtų tokie duomenys atskleisti, nekopijuoti ir (ar) kitaip neatgaminti atskleistų duomenų bei nedelsiant sustabdyti bet kokius tvarkymo veiksmus ir apie tai informuoti Atsakingą asmenį.
      1. Tais atvejais, kai duomenys tvarkomi prieš sudarant sutartį, šios sutarties sudarymo tikslais, tačiau sutartis nesudaroma, visi gauti duomenų subjekto duomenys yra tvarkomi Duomenų tvarkymo veiklos įrašuose nurodyta tvarka.
    3. Asmens duomenys saugomi ne ilgiau negu to reikalauja duomenų tvarkymo tikslai. Konkretūs asmens dokumentų (duomenų) saugojimo terminai nustatyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo ir kituose teisės aktuose bei Taisyklėse ir jų prieduose.
    4. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami teisės aktuose nustatyta tvarka, išskyrus tą dokumentaciją, kuri pagal įstatymų nuostatas turi būti perduota Lietuvos valstybės naujajam archyvui. Pasibaigus duomenų tvarkymo terminui ir neatsiradus pagrindams, dėl kurių jis būtų pratęstas, šiuos duomenis Bendrovė turi sunaikinti per 10 (dešimt) darbo dienų. Darbuotojai, kurie atsakingi už duomenų tvarkymą (saugojimą), pasibaigus duomenų tvarkymo (saugojimo) terminui turi inicijuoti duomenų sunaikinimo procedūrą. Už tik elektroniniu būdu Bendrovės informacinėse sistemose tvarkomų (saugomų) duomenų sunaikinimo procedūros inicijavimą atsako konkrečiu kompiuteriu, kuriame saugomos asmens duomenų rinkmenos, dirbantis darbuotojas. Už Bendrovės duomenų bazėse ir IT sistemose esančių duomenų sunaikinimą atsakingi šias sistemas administruojantys darbuotojai.
    5. Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu Bendrovė nustato, kad saugoti duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, ar kitais įstatymų nustatytais atvejais. Sprendimą pratęsti duomenų saugojimo terminą priima Bendrovės vadovas. Prieš priimant sprendimą pratęsti duomenų saugojimo terminą turi būti konsultuojamasi su duomenų apsaugos pareigūnu (kai jis paskirtas).
    6. Bendrovei su trečiosiomis šalimis (duomenų tvarkytojais ar bendra valdytojais) sudarant sutartis dėl kurių įvykdymo yra būtina perduoti tvarkyti duomenų subjektų (klientų, kontrahentų, jų atstovų ir pan.) duomenis, tam kad būtų įvykdyta su pačiu duomenų subjektu sudaryta sutartis, šiose su trečiosiomis šalimis sudaromose sutartyse turi būti sudarytas atskiras tokių sutarčių priedas arba pačioje sutartyje nustatomos sąlygos dėl asmens duomenų tvarkymo.
  6. Duomenų apsaugos pareigūnas
    1. Bendrovė, įgyvendindama duomenų apsaugos srityje nusistovėjusią gerąją praktiką ir siekdama tobulinti savo Privatumo politiką, gali paskirti duomenų apsaugos pareigūną.
    2. Jei Bendrovė susikurtų internetinę svetainę, tuomet duomenų apsaugos pareigūno duomenys turėtų būti skelbiami viešai Bendrovės Svetainėje (skiltyje „Privatumo politika“):
      1. kai duomenų apsaugos pareigūnas yra Bendrovės darbuotojas, skelbiami jo asmens vardas, pavardė, elektroninio pašto adresas ir telefono numeris;
      2. kai duomenų apsaugos pareigūno funkcijas atlieka šią paslaugą teikianti įmonė (ar kita organizacija), skelbiami šio juridinio asmens pavadinimas, elektroninio pašto adresas ir telefono numeris, kuriais galima susisiekti dėl duomenų tvarkymo vykdomo Bendrovėje.
    3. Duomenų apsaugos pareigūno pagrindinės užduotys, funkcijos, pareigos ir teisės nustatytos Reglamente ir duomenų apsaugos pareigūno pareiginiuose nuostatuose, kai jis yra Bendrovės darbuotojas, arba sutartyje dėl duomenų apsaugos pareigūno paslaugos teikimo, kai duomenų apsaugos pareigūno funkcijas atlieka šią paslaugą teikianti įmonė (ar kita organizacija).
    4. Duomenų apsaugos pareigūnas tiesiogiai atskaitingas Bendrovės vadovui.
  7. Tiesioginė rinkodara
    1. Tiesioginė rinkodara asmeniui naudojant elektroninių ryšių paslaugas gali būti teikiama tik gavus išankstinį sutikimą. Duomenų tvarkymas sutarties vykdymo ar paslaugų teikimo tikslais negali būti laikomi duomenų tvarkymu tiesioginės rinkodaros tikslais. Sutikimas negali būti gaunamas naudojant iš anksto pažymėtus langelius arba pasinaudojant žmogaus ar organizacijos neveikimu, o sutikimui svarbi informacija negali būti paslėpta.
    2. Asmuo turi suprasti, kad duoda sutikimą ir dėl ko jį duoda. Prašymas duoti sutikimą turi būti pateiktas aiškia ir paprasta kalba, iš jo turėtų būti aišku, kur ir kaip galima susipažinti su informacija apie duomenų rinkimą, jame neturėtų būti nesąžiningų sąlygų ir jis turi būti aiškiai atskirtas nuo kitų klausimų.
    3. El. paštu ir SMS žinute tiesioginė rinkodara be klientų sutikimo gali būti vykdoma tik panašių prekių ar paslaugų rinkodarai, duomenų rinkimo metu klientui sudarius galimybę prieštarauti tokiam kontaktinių duomenų tvarkymui.
    4. Asmeniui turi būti sudaryta aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti ar vėliau atšaukti duotą sutikimą.
  8. Už duomenų apsaugos įgyvendinimą atsakingas asmuo
    1. Siekiant įgyvendinti Reglamento nuostatas gali būti paskiriamas Atsakingas asmuo, kuris yra atsakingas už duomenų apsaugos tinkamą įgyvendinimą Bendrovėje. Jei atskiro paskyrimo nėra, atsakingo asmens funkcijas atlieka Bendrovės vadovas.
    2. Atsakingo asmens pagrindinės funkcijos:
      1. palaikyti ryšį su duomenų apsaugos pareigūnu dėl visų rūšių klausimų, susijusių su Privatumo politikos įgyvendinimu, derinimu ir vykdymu;
      2. padėti duomenų apsaugos pareigūnui atlikti jam priskirtas užduotis;
      3. supažindinti Bendrovės darbuotojus su jos taikoma Privatumo politika;
      4. teikti su Privatumo politikos įgyvendinimu susijusią metodinę pagalbą ir informaciją Bendrovės darbuotojams;
      5. parengti ir (ar) suderinti su duomenų apsaugos pareigūnu Bendrovės teikiamus atsakymus (jų projektus) į duomenų subjektų paklausimus ir prašymus;
      6. Bendrovės vadovui teikti pasiūlymus, susijusius su Bendrovės Privatumo politikos įgyvendinimu;
      7. prižiūrėti, kad Bendrovėje būtų tinkamai vykdoma jos Privatumo politika;
      8. įgyvendinti duomenų apsaugos pareigūno pateiktus pasiūlymus ir pastabas, kurių įgyvendinimą patvirtino Bendrovės vadovas;
      9. surinkti iš Bendrovės darbuotojų ir pateikti duomenų apsaugos pareigūnui informaciją, kuri yra reikalinga tinkamam atsakymui į duomenų subjektų prašymus parengti ir (ar) kitoms duomenų apsaugos pareigūno funkcijoms atlikti;
      10. informuoti Valstybinę duomenų apsaugos inspekciją apie duomenų apsaugos pareigūno paskyrimą;
      11. vykdyti kitas Taisyklėse ir jų prieduose nurodytas funkcijas;
      12. vykdyti kitus Bendrovės vadovo nurodymus, susijusius su Privatumo politikos įgyvendinimu.
    3. Atsakingas asmuo skiriamas Bendrovės vadovo įsakymu, su kuriuo supažindinami visi darbuotojai.
    4. Vykdydamas su duomenų apsauga susijusias funkcijas Atsakingas asmuo yra atskaitingas ir pavaldus tik Bendrovės vadovui.
    5. Dėl visų su duomenų apsauga susijusių klausimų Bendrovės darbuotojai turi pirmiausia kreiptis į Atsakingą asmenį.
    6. Kai Atsakingas asmuo nepaskirtas, jo funkcijas, kurios nepriskiriamos duomenų apsaugos pareigūnui (kai jis yra Bendrovės darbuotojas), Bendrovėje atlieka Bendrovės vadovas.
  9. Veiklos įrašų atlikimas
    1. Bendrovėje asmens duomenų tvarkymo Veiklos įrašai atliekami vadovaujantis Reglamentu ir Valstybinės duomenų apsaugos inspekcijos rekomendacijomis bei šiomis Taisyklėmis.
    2. Veiklos įrašai privalo būti atliekami dėl tokių duomenų tvarkymo operacijų, kurios atitinka bent vieną iš šių atvejų:
      1. kai dėl vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms;
      2. duomenų tvarkymas yra reguliarus;
      3. duomenų tvarkymas apima specialiųjų kategorijų asmens duomenis;
      4. tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas.
    3. Veiklos įrašai atliekami pagal patvirtintas Veiklos įrašų formas, kurios parengtos vadovaujantis Valstybinės duomenų apsaugos inspekcijos rekomenduotinomis formomis, parenkant vieną iš formų priklausomai nuo to ar Bendrovė yra duomenų valdytojas, ar duomenų tvarkytojas.
    4. Veiklos įrašai viešai neskelbiami.
    5. Veiklos įrašai Bendrovėje tvarkomi raštu, įskaitant elektronine forma.
    6. Veiklos įrašai atnaujinami, kai pasikeičia asmens duomenų tvarkymo veiksmai ar kita informacija, susijusi su asmens duomenų tvarkymu.
    7. Veiksmai su Veiklos įrašų atlikimu, pakeitimu, kopijų ir (ar) išrašų darymu registruojami Veiklos įrašų registravimo žurnale, kuris tvarkomas raštu, įskaitant elektroninę jo formą, pagal atitinkamą patvirtintą Veiklos įrašų registravimo žurnalo formą (Taisyklių Priedas Nr. 2). Kai Bendrovė asmens duomenis tvarko kaip duomenų tvarkytojas, su šiuo tvarkymu susiję Veikos įrašų atlikimo veiksmai registruojami atskirame Veiklos įrašų registravimo žurnale pagal atskirus duomenų valdytojus. 
    8. Už Veiklos įrašų vedimą, tvarkymą ir saugojimą atsakingas Bendrovės vadovas ar jo paskirtas Atsakingas asmuo.
    9. Atlikus Veiklos įrašą ir (ar) padarius bet kokį jo pakeitimą, Veiklos įrašo kopija turi būti pateikiama duomenų apsaugos pareigūnui ne vėliau kaip per 2 (dvi) darbo dienas.
    10. Veiklos įrašai ir (ar) jų kopijos privalo būti pateikti Valstybinei duomenų apsaugos inspekcijai esant jos prašymui.
    11. Veiklos įrašus ir (ar) jų kopijas Valstybinei duomenų apsaugos inspekcijai teikia Atsakingas asmuo arba duomenų apsaugos pareigūnas (kai jis yra paskirtas).
  10. Poveikio duomenų apsaugai vertinimo atlikimo ir išankstinės konsultacijos su Valstybine duomenų apsaugos inspekcija tvarka
    1. Kai pagal Reglamentą ir (ar) kitus teisės aktus, prieš pradedant tvarkyti asmens duomenis Bendrovėje, turi būti atliekamas poveikio duomenų apsaugai vertinimas ir dėl tokio duomenų tvarkymo turi būti konsultuojamasi su Valstybine duomenų apsaugos inspekcija, darbuotojai, atsakingi už šį duomenų tvarkymą ir (ar) atliekantys esamo arba numatomo duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą privalo vadovautis Poveikio duomenų apsaugai vertinimo atlikimo bendrovėje.
  11. Duomenų tvarkymas sutikimo pagrindu
    1. Asmens duomenys sutikimo pagrindu yra tvarkomi Taisyklėse, Reglamente arba kituose teisės aktuose nurodytais atvejais.
    2. Sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas, kurioms sutikimas yra renkamas.
    3. Duomenų subjekto sutikimas gali būti renkamas šiais būdais:
      1.  raštu, įskaitant elektronines priemones;
      2.  žodžiu ir (ar) duomenų subjekto atliekamais veiksmais, jeigu duomenų subjektas aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Asmuo, pats pateikdamas informaciją elektroninio ryšio priemonėmis ar socialiniuose tinkluose – savo veiksmais duoda sutikimą dėl šių duomenų. 
    4. Duomenų subjekto rašytinis sutikimas teikiamas atskiru raštu arba varnele elektroniniu formatu arba patvirtinant laišku ar kita rašytine forma.
    5. Kai sutikimas gaunamas rašytinės formos, duomenų subjektui jo rašytiniu prašymu pateikiamas vienas jo išduoto sutikimo egzempliorius (arba sutikimo kopija).
    6. Duomenų subjekto išduotas sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto duomenų tvarkymo termino pabaigos. Pasibaigus sutikime duomenų tvarkymo terminui ir (ar) duomenų subjektui atšaukus sutikimą, jeigu nėra kitų Reglamente nurodytų pagrindų duomenims tvarkyti, Bendrovė nutraukia šio duomenų subjekto duomenų tvarkymą, išskyrus saugojimą teisės aktuose nustatytą terminą.
    7. Duomenų subjekto teisės atšaukti savo išduotą sutikimą įgyvendinamos Taisyklių Priede Nr. 4 nustatyta tvarka.
    8. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, Duomenų subjektų išduoti sutikimai yra saugomi tokį laikotarpį, koks yra reikalingas sutikime nurodytų duomenų tvarkymui pagrįsti ir (ar) įrodyti, kad Bendrovė tam tikru metu buvo gavusi duomenų subjekto sutikimą.
    9. Duomenų subjekto pateiktus rašytinius (įskaitant elektronine forma) sutikimus Bendrovė saugo ne ilgiau kaip 1 (vienus) metus po duomenų tvarkymo sutikime nurodytais tikslais nutraukimo (pasibaigus sutikime nurodytam terminui ir (ar) duomenų subjektui atšaukus sutikimą), išskyrus atvejus, kai teisės aktai nustato kitokį sutikimų saugojimo laikotarpį.
    10. Jeigu duomenų subjekto sutikime nurodytus duomenis Bendrovė ketina tvarkyti kita apimtimi ir kitu tikslu, prieš tokį duomenų tvarkymą privalo būti gaunamas papildomas ir (ar) naujas duomenų subjekto sutikimas tokiam duomenų tvarkymui, išskyrus atvejus, jeigu atsirado kitas Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
  12. Duomenų teikimas į trečias valstybes ar tarptautines organizacijas
    1. Bendrovės tvarkomi duomenų subjektų duomenys, kuriuos ji tvarko ir (ar) perduoda į trečiąsias valstybes, gavėjų kategorijos ir tos trečiosios valstybės, yra nurodyti Taisyklių Priede. Aktualu tai, jog trečiosioms šalims perduodami asmens duomenys turi atitikti Taisyklėse numatytus teisėtus duomenų perdavimo tikslus. 
    2. Bendrovė prieš perduodama duomenis trečiosioms šalims į trečias valstybes, turi gauti tos trečiosios šalies rašytinį įsipareigojimą laikytis Reglamento nuostatų. Įsipareigojimas gali būti sudaromas užsienio kalba jį dubliuojant lietuvių kalba.
    3. Tretiesiems asmenims į trečiąsias valstybes ir (ar) tarptautines organizacijas Bendrovės darbo organizavimo, bendradarbiavimo ir ryšių užmezgimo tikslais gali būti perduodami tik Bendrovės darbuotojų, kurie pateikė rašytinį sutikimą dėl jų duomenų perdavimo į trečiąją valstybę.
    4. Tais atvejais, kai Bendrovė perduoda duomenų subjektų, kurie nėra jos darbuotojai, duomenis, išskyrus atvejus, jeigu toks duomenų subjektas pateikia rašytinį sutikimą, Atsakingas asmuo (išskyrus atvejus, kai tai atlieka duomenų apsaugos pareigūnas) turi kreiptis į Valstybinę duomenų apsaugos inspekciją dėl leidimo pateikti to asmens duomenis į trečiąją valstybę.
    5. Prašymas dėl leidimo išdavimo pateikiamas vadovaujantis Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka tiesiogiai Valstybinės duomenų apsaugos inspekcijos svetainėje arba raštu parengtą pagal Valstybinės duomenų apsaugos inspekcijos nustatytą Prašymo dėl leidimo perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo rekomenduojamą formą.
    6. Prieš Valstybinės duomenų apsaugos inspekcijai pateikiant prašymą dėl leidimo pateikti duomenis į trečiąją valstybę, kurioje neužtikrinamas tinkamas asmens duomenų teisinės apsaugos lygis, Bendrovė iš anksto su tokioje trečioje valstybėje esančiu duomenų gavėju turi suderinti raštu apsaugos priemones (reikalingas asmens privataus gyvenimo neliečiamumui, kitoms duomenų subjekto teisėms apsaugoti ir įgyvendinti), kurios bus taikomos tvarkant duomenų subjektų duomenis gaunamus iš Bendrovės. Tokios apsaugos priemonės turi būti išdėstytos asmens duomenų teikimo į trečiąją valstybę (kuri neužtikrina tinkamo asmens duomenų teisinės apsaugos lygio) sutartyje arba kitame rašytinės formos dokumente. Šios apsaugos priemonės turi atitikti bent minimalius apsaugos priemonėms keliamus reikalavimus, nustatytus Reglamente, Taisyklėse ir (ar) kituose teisės aktuose. Sutartis ir (ar) kitas rašytinės formos dokumentas, kuriuose nustatomos apsaugos priemonės, turi būti pateikiamas Valstybinės duomenų apsaugos inspekcijai kartu su prašymu dėl leidimo pateikti duomenis į trečiąją valstybę išdavimo.
    7. Duomenų perdavimui specialaus leidimo nereikia į tokias trečiąsias valstybes ar tarptautines organizacijas:
      1. dėl kurių Europos Komisija nusprendė, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą, ir jų sąrašą paskelbė viešai;
      2. Reglamento 46 straipsnio 2 dalyje nustatytais atvejais.
  13. Organizacinės ir techninės priemonės
    1. Bendrovėje taikomos bendrosios organizacinės ir techninės priemonės yra nurodytos Bendrųjų organizacinių ir techninių priemonių sąraše.
    2. Už tinkamą Bendrovės taikomų techninių saugos priemonių įgyvendinimą yra atsakingas Saugos įgaliotinis.
    3. Saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems darbuotojams, kiek tai susiję techninių saugos priemonių taikymu tvarkant duomenis.
    4. Jeigu Saugos įgaliotinis Bendrovėje nepaskiriamas, jo funkcijas atlieka Bendrovės vadovas.
  14. Pažeidimų valdymo tvarka
    1. Saugos įgaliotinis, Atsakingas asmuo ir (ar) kitas Bendrovės vadovo paskirtas Pažeidimo tyrime dalyvauti asmuo, tirdami Pažeidimą, vertindami jo sukeltas pasekmes ir spręsdami dėl pranešimo apie duomenų saugumo Pažeidimą pateikimą turi vadovautis Reglamentu ir Bendrovėje patvirtinta Duomenų saugumo pažeidimų valdymo bendrovėje. Kiti Bendrovės darbuotojai Taisyklių Priedu privalo vadovautis nustatant duomenų saugumo Pažeidimą, jo pobūdį ir informuojant atsakingus asmenis apie Pažeidimo pastebėjimą.
  15. Supažindinimo su Privatumo politika tvarka
    1. Visi suinteresuoti asmenys susipažinti su politika bei jos priedais gali Bendrovės veiklos adresu suderintu laiku - prieš tai susitariant šiose taisyklėse nurodytais kontaktais. Bendrovės Darbuotojai, su jų duomenų tvarkymu, Taisyklėmis ir (ar) jų priedais Darbuotojai yra supažindinami pasirašytinai pagal patvirtintą Darbuotojų supažindinimo su asmens duomenų tvarkymą reglamentuojančiais dokumentais formą. Supažindinimo dokumentas saugomas darbuotojo darbo byloje.
    2. Jeigu darbuotojas atsisako susipažinti su supažindinamu dokumentu ir (ar) pasirašyti dėl susipažinimo darbuotojas su šiais dokumentais supažindinamas vadovaujantis bendra Bendrovėje ir (ar) darbo teisėje nustatyta darbuotojų supažindinimo tvarka.
    3. Darbuotojai supažindinami tik su tais Taisyklių priedais, kurie yra būtini įgyvendinant jų teises, pareigas ir (ar) jiems priskirtoms funkcijoms atlikti vadovaujantis Bendrovės vadovo įsakymu.
    4. Darbuotojus su Bendrovės Privatumo politika, Taisyklėmis ir jų priedais supažindina Bendrovės vadovo paskirtas Atsakingas asmuo arba pats Bendrovė vadovas.
  16. Baigiamosios nuostatos
    1. Taisyklės ir jų priedai peržiūrimi esant poreikiui ir (ar) iš esmės pasikeitus teisės aktams. Tais atvejais, kai Taisyklės prieštarauja teisės aktų, reguliuojančių duomenų apsaugą, nuostatoms, taikomos teisės aktų nuostatos.
    2. Prieš patvirtinant Taisykles, jų priedus, pakeitimus ir (ar) papildymus turi būti gaunama duomenų apsaugos pareigūno nuomonė (kai jis yra paskirtas), ir jeigu reikalinga atlikti kiti teisės aktuose nustatyti veiksmai.
    3. Su pakeistomis Taisyklėmis ir (ar) jų priedais Bendrovės darbuotojai supažindinami pasirašytinai, o kiti duomenų subjektai, jeigu reikalinga, informuojami pakeitimus patvirtinančiame Bendrovės dokumente nustatyta tvarka.
    4. Bendrovė užtikrina darbuotojų, atsakingų už tinkamą asmens duomenų tvarkymą, mokymus bei techninių ir organizacinių priemonių pateikimą.
    5. Darbuotojai (jei Bendrovė įdarbintų darbuotojus) pažeidę Reglamento, kitų teisės aktų reglamentuojančių duomenų apsaugą, Taisyklių ir (ar) jų priedų nuostatas, atsako įstatymų nustatyta tvarka. Bendrovės taikomos Privatumo politikos netinkamas įgyvendinimas ir (ar) laikymasis darbuotojų atžvilgiu laikomas darbo drausmės pažeidimu.