Asmens duomenų tvarkymo taisyklės
1. Bendrosios nuostatos
1.1. Šios Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą ir apsaugą Bendrijoje MB „Erikas ir partneriai“, įmonės kodas 306503584, buveinės adresas Kazimiero Ladygos g. 5‑9, LT‑08235 Vilnius, el. paštas hello@nusearch.lt, interneto svetainė nusearch.lt (toliau – Bendrija arba Duomenų valdytojas).
1.2. Taisyklės parengtos siekiant užtikrinti atitiktį 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentui (ES) 2016/679 (Bendrasis duomenų apsaugos reglamentas, BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymui (ADTAĮ), taip pat kitiems taikytiniems teisės aktams, reglamentuojantiems asmens duomenų tvarkymą ir apsaugą.
1.3. Taisyklės taikomos visiems Bendrijos tvarkomiems asmens duomenims, nepriklausomai nuo duomenų formos, laikmenos ar tvarkymo būdo, įskaitant duomenis, tvarkomus elektroninėse sistemose, popieriniuose dokumentuose ir kitomis priemonėmis.
1.4. Taisyklės privalomos visiems asmenims, kurie Bendrijos vardu tvarko asmens duomenis, įskaitant Bendrijos narius, darbuotojus, paslaugų teikėjus ir kitus asmenis, veikiančius pagal Bendrijos nurodymus (duomenų tvarkytojus).
2. Sąvokos
2.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba gali būti tiesiogiai ar netiesiogiai nustatyta, kaip tai apibrėžta BDAR 4 straipsnyje.
2.2. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis Bendrija tvarko (pvz., klientas, mokymų dalyvis, potencialus klientas, paslaugų teikėjo atstovas).
2.3. Duomenų valdytojas – MB „Erikas ir partneriai“, kuri nustato asmens duomenų tvarkymo tikslus ir priemones.
2.4. Duomenų tvarkytojas – fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Bendrijos vardu tvarko asmens duomenis pagal rašytinę sutartį ar kitą teisinį pagrindą (pvz., apskaitos paslaugų teikėjas, IT tiekėjas, el. pašto ar debesijos paslaugų teikėjas).
2.5. Duomenų tvarkymas – bet kokia su asmens duomenimis atliekama operacija ar jų seka (rinkimas, įrašymas, saugojimas, tikslinimas, naudojimas, teikimas, archyvavimas, sunaikinimas ir kt.), kaip apibrėžta BDAR.
2.6. Specialių kategorijų asmens duomenys – duomenys, kuriais atskleidžiama rasinė ar etninė kilmė, politinės pažiūros, religiniai ar filosofiniai įsitikinimai, narystė profsąjungose, genetiniai ir biometriniai duomenys, duomenys apie sveikatą, lytinį gyvenimą ar orientaciją, tvarkomi pagal BDAR 9 straipsnį.
2.7. Duomenų apsaugos pažeidimas – saugumo pažeidimas, dėl kurio atsitiktinai ar neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami ar prieinami perduodami, saugomi ar kitaip tvarkomi asmens duomenys.
3. Asmens duomenų tvarkymo principai
3.1. Bendrija tvarko asmens duomenis laikydamasi BDAR 5 straipsnyje nustatytų principų: teisėtumo, sąžiningumo ir skaidrumo; tikslo apribojimo; duomenų kiekio mažinimo; tikslumo; saugojimo trukmės apribojimo; vientisumo ir konfidencialumo; atskaitomybės.
3.2. Asmens duomenys tvarkomi tik aiškiai apibrėžtais, teisėtais tikslais ir negali būti toliau tvarkomi su tais tikslais nesuderinamu būdu, išskyrus teisės aktuose numatytus atvejus.
3.3. Bendrija užtikrina, kad būtų tvarkomi tik tokie duomenys ir tik tokia apimtimi, kuri yra būtina konkrečiam, apibrėžtam ir teisėtam tikslui pasiekti.
3.4. Duomenys saugomi ne ilgiau, negu to reikia tvarkymo tikslams pasiekti, laikantis teisės aktuose nustatytų terminų (pvz., sutarčių ir finansinių dokumentų saugojimo terminai pagal apskaitos teisės aktus).
4. Asmens duomenų tvarkymo tikslai ir teisiniai pagrindai
4.1. Bendrija asmens duomenis gali tvarkyti šiais pagrindiniais tikslais ir teisiniais pagrindais: Sutarčių (mokymų, konsultacijų, paslaugų) sudarymas ir vykdymas; Buhalterinė apskaita ir mokestinių prievolių vykdymas; Klientų užklausų ir susirašinėjimo administravimas; Tiesioginė rinkodara (naujienlaiškiai, kvietimai į mokymus); Interneto svetainės ir IT sistemų saugumas, tobulinimas; Teisinių reikalavimų pareiškimas, vykdymas ir gynimas.
4.2. Specialių kategorijų asmens duomenys Bendrijoje paprastai netvarkomi; jei dėl konkretaus projekto ar mokymų būtų būtina tvarkyti tokius duomenis (pvz., dėl dalyvių sveikatos ypatumų, specialiųjų poreikių), jie būtų tvarkomi tik laikantis BDAR 9 straipsnio ir ADTAĮ reikalavimų, gavus aiškų duomenų subjekto sutikimą ar esant aiškiai taikytinam teisės akte numatytam pagrindui.
5. Asmens duomenų šaltiniai ir gavėjai
5.1. Asmens duomenys paprastai gaunami tiesiogiai iš duomenų subjekto (pavyzdžiui, jam registruojantis į mokymus, teikiant užklausą, sudarant sutartį, užsisakant naujienlaiškį).
5.2. Duomenys taip pat gali būti gaunami iš: juridinių asmenų, kuriuos atstovauja duomenų subjektas (darbdaviai, užsakovai); viešai prieinamų šaltinių (oficialios svetainės, vieši registrai), kiek tai leidžiama teisės aktais; duomenų tvarkytojų, kurie teikia paslaugas Bendrijai.
5.3. Bendrija gali teikti asmens duomenis šiems gavėjams: apskaitos ir audito paslaugų teikėjams; IT, el. pašto, debesijos, duomenų talpinimo, svetainės prieglobos paslaugų teikėjams; mokėjimo ir bankinėms institucijoms atsiskaitymų tikslais; teisės, konsultacijų, skolų išieškojimo paslaugų teikėjams ginčų ir reikalavimų administravimui; viešosios valdžios ir priežiūros institucijoms (pvz., Valstybinei duomenų apsaugos inspekcijai, mokesčių administratoriui), kai tokį teikimą numato teisės aktai.
5.4. Duomenų tvarkytojai tvarko asmens duomenis tik rašytiniu susitarimu su Bendrija, tik tiek, kiek būtina paslaugoms teikti, ir laikydamiesi BDAR ir ADTAĮ reikalavimų.
5.5. Asmens duomenys paprastai nėra perduodami į trečiąsias valstybes (už Europos ekonominės erdvės ribų); jei konkretus paslaugų teikėjas ar platforma numatytų tokį perdavimą, jis būtų vykdomas pagal BDAR V skyriaus nuostatas (pvz., remiantis Europos Komisijos sprendimu dėl tinkamumo ar standartinėmis sutarčių sąlygomis).
6. Duomenų saugojimo terminai
6.1. Asmens duomenys saugomi ne ilgiau, nei tai būtina tikslams, dėl kurių jie renkami ir tvarkomi, arba tiek, kiek reikalauja taikytini teisės aktai.
6.2. Bendrija taiko šiuos pagrindinius asmens duomenų saugojimo terminus (nebent konkrečiu atveju pagrįstai nustatomas kitoks terminas):
6.2.1. sutarčių ir su jomis susijusių dokumentų duomenys – 10 metų po sutartinių santykių pabaigos, atsižvelgiant į bendruosius senaties ir apskaitos dokumentų saugojimo terminus;
6.2.2. buhalteriniai dokumentai (sąskaitos faktūros, mokėjimo dokumentai) – pagal teisės aktus nustatytus terminus;
6.2.3. korespondencijos su klientais ir užklausų administravimo duomenys – iki 2 metų nuo paskutinio aktyvaus bendravimo, nebent korespondencija yra sutartinių ar teisinių santykių dalis;
6.2.4. tiesioginės rinkodaros duomenys – tol, kol galioja duotas sutikimas arba kol asmuo pareikalauja nutraukti tvarkymą; tokio reikalavimo atveju duomenys nedelsiant ištrinami arba ribojamas jų tvarkymas, išskyrus minimalią informaciją dėl įrodymo apie sutikimo ir jo atšaukimo faktą;
6.2.5. svetainės lankytojų techniniai duomenys (pvz., serverio žurnalai) – įprastai iki 1 metų, nebent saugoti juos ilgiau būtina siekiant užtikrinti sistemų saugumą, tirti incidentus arba ginti Bendrijos teises.
7. Duomenų subjektų teisės ir jų įgyvendinimo tvarka
7.1. Duomenų subjektas turi BDAR ir ADTAĮ numatytas teises, įskaitant: teisę būti informuotam apie asmens duomenų tvarkymą; teisę susipažinti su savo asmens duomenimis; teisę reikalauti ištaisyti netikslius ar neišsamius duomenis; teisę reikalauti ištrinti duomenis („teisė būti pamirštam“) tam tikrais BDAR nustatytais atvejais; teisę reikalauti apriboti duomenų tvarkymą; teisę nesutikti, kad duomenys būtų tvarkomi dėl Bendrijos teisėto intereso, įskaitant teisę bet kada nesutikti su tiesiogine rinkodara; teisę į duomenų perkeliamumą, kai taikomas BDAR 20 straipsnis; teisę bet kuriuo metu atšaukti duotą sutikimą, nepažeidžiant tvarkymo, kuris buvo atliktas iki atšaukimo; teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
7.2. Duomenų subjektas savo teises gali įgyvendinti pateikdamas Bendrijai rašytinį prašymą el. paštu hello@nusearch.lt arba paštu adresu Kazimiero Ladygos g. 5‑9, LT‑08235 Vilnius, taip pat kitu Bendrijos nurodytu būdu (pvz., kontaktine forma svetainėje).
7.3. Bendrija, gavusi duomenų subjekto prašymą, atsako ne vėliau kaip per 1 mėnesį nuo prašymo gavimo dienos; šis terminas gali būti pratęstas dar 2 mėnesiams, jei prašymas sudėtingas ar gaunama daug prašymų, apie tai informuojant duomenų subjektą.
7.4. Bendrija gali atsisakyti tenkinti prašymą arba jį apriboti BDAR ir ADTAĮ numatytais atvejais, kai tai būtina siekiant apsaugoti kitų asmenų teises ir laisves, užtikrinti valstybės saugumą, viešąją tvarką ar vykdyti teisinę prievolę.
8. Techninės ir organizacinės duomenų apsaugos priemonės
8.1. Bendrija įgyvendina tinkamas technines ir organizacines priemones, kad asmens duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, taip pat nuo bet kokio kito neteisėto tvarkymo.
8.2. Įgyvendinamos priemonės apima, be kita ko: prieigų prie IT sistemų ribojimą ir valdymą (vartotojų paskyros, slaptažodžiai, dviejų veiksnių autentifikavimas, kai įmanoma); duomenų šifravimą ar kitas apsaugos priemones perduodant duomenis elektroninėmis ryšių priemonėmis, kiek tai pagrįsta ir proporcinga; įprastinį programinės įrangos ir sistemų atnaujinimą, saugumo nustatymų priežiūrą; reguliarų duomenų atsarginių kopijų darymą ir saugų jų saugojimą; fizines apsaugos priemones (apsaugotas patalpas, dokumentų saugojimą užrakinamose vietose, ribojamą patekimą); įsipareigojimus dėl konfidencialumo visiems asmenims, kurie tvarko asmens duomenis Bendrijos vardu; duomenų tvarkytojų atranką ir priežiūrą, reikalaujant atitikties BDAR ir ADTAĮ.
8.3. Priemonės parenkamos atsižvelgiant į tvarkomų duomenų pobūdį, kiekį, tvarkymo mastą, kontekstą ir tikslus, taip pat į galimų grėsmių duomenų subjektų teisėms ir laisvėms tikimybę ir rimtumą.
9. Duomenų apsaugos pažeidimų valdymas
9.1. Nustačiusi ar pagrįstai įtardama asmens duomenų saugumo pažeidimą, Bendrija nedelsdama imasi priemonių pažeidimui suvaldyti, jo padariniams sumažinti ir ateityje išvengti panašių incidentų.
9.2. Kai asmens duomenų saugumo pažeidimas gali kelti riziką duomenų subjektų teisėms ir laisvėms, Bendrija nedelsdama ir, kiek įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie pažeidimą, praneša Valstybinei duomenų apsaugos inspekcijai, išskyrus atvejus, kai mažai tikėtina, kad pažeidimas sukels tokią riziką.
9.3. Kai pažeidimas gali kelti didelę riziką duomenų subjektų teisėms ir laisvėms, Bendrija taip pat informuoja atitinkamus duomenų subjektus, išskyrus BDAR 34 straipsnyje numatytas išimtis.
9.4. Visi duomenų apsaugos pažeidimai ir su jais susiję veiksmai dokumentuojami, kad būtų galima įvertinti pažeidimų priežastis ir atitiktį teisės aktų reikalavimams.
10. Asmens duomenų tvarkymas svetainėje ir slapukai
10.1. Bendrija savo interneto svetainėje nusearch.lt gali naudoti būtinus ir (ar) nebūtinus slapukus bei panašias technologijas, siekdama: užtikrinti svetainės veikimą, tobulinti jos funkcionalumą, analizuoti lankomumą ir, esant sutikimui, teikti suasmenintą turinį ar rinkodarą.
10.2. Apie konkrečius naudojamus slapukus, jų pobūdį, saugojimo trukmę ir naudojimo tikslus duomenų subjektai informuojami atskiroje Slapukų politikoje, paskelbtoje Bendrijos svetainėje, kurioje taip pat numatyta slapukų valdymo ir sutikimų atšaukimo tvarka.
10.3. Nebūtini slapukai (analitiniai, rinkodaros ir pan.) naudojami tik gavus išankstinį duomenų subjekto sutikimą, kurį bet kada galima pakeisti ar atšaukti.
11. Duomenų tvarkytojų pasirinkimas ir priežiūra
11.1. Pasirinkdama duomenų tvarkytojus, Bendrija įsitikina, kad jie užtikrina tinkamas technines ir organizacines duomenų apsaugos priemones ir gali garantuoti tvarkymo atitiktį BDAR ir ADTAĮ reikalavimams.
11.2. Su duomenų tvarkytojais sudaromos rašytinės sutartys ar kiti teisės aktuose numatyti susitarimai, kuriuose aiškiai apibrėžiami tvarkymo tikslai, pobūdis, trukmė, duomenų rūšys, duomenų subjektų kategorijos ir tvarkytojo pareigos bei atsakomybė.
11.3. Duomenų tvarkytojas neturi teisės pasitelkti kitų tvarkytojų (subtvarkytojų) be išankstinio Bendrijos leidimo ir privalo užtikrinti, kad visi asmenys, tvarkantys asmens duomenis, būtų įsipareigoję saugoti konfidencialumą.
12. Mokymai ir atitikties užtikrinimas
12.1. Bendrija, atsižvelgdama į savo dydį ir veiklos pobūdį, užtikrina, kad asmenys, kurie tvarko asmens duomenis Bendrijos vardu, būtų susipažinę su šiomis Taisyklėmis ir pagrindiniais duomenų apsaugos reikalavimais, o prireikus – periodiškai atnaujintų žinias.
12.2. Taisyklių laikymasis reguliariai peržiūrimas, esant poreikiui atliekami vidiniai patikrinimai ir atnaujinamos vidinės procedūros, kad būtų atsižvelgta į teisinės aplinkos, praktikos ir Bendrijos veiklos pokyčius.
13. Duomenų apsaugos pareigūnas
13.1. Atsižvelgiant į Bendrijos dydį ir veiklos pobūdį, BDAR 37 straipsnyje numatyta prievolė skirti duomenų apsaugos pareigūną Bendrijai netaikoma, nebent ateityje Bendrijos veikla keistųsi taip, kad atsirastų tokia prievolė.
13.2. Jei duomenų apsaugos pareigūnas būtų paskirtas savanoriškai arba dėl teisės aktų pasikeitimų, jo kontaktiniai duomenys būtų paskelbti viešai ir nurodyti šiose Taisyklėse.
14. Baigiamosios nuostatos
14.1. Taisyklės skelbiamos viešai Bendrijos interneto svetainėje nusearch.lt ir taikomos nuo jų patvirtinimo dienos.
14.2. Bendrija turi teisę vienpusiškai keisti Taisykles, atsižvelgdama į pasikeitusius teisės aktų reikalavimus ar veiklos pokyčius, apie esminius pakeitimus tinkamai informuodama duomenų subjektus (pvz., svetainėje, el. paštu).
14.3. Klausimai, susiję su asmens duomenų tvarkymu ir šių Taisyklių taikymu, sprendžiami kreipiantis į Bendriją el. paštu hello@nusearch.lt arba kitais Bendrijos nurodytais kontaktais.
