Privatumo politika

  • UAB „RMD Linija“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

    1. BENDROSIOS NUOSTATOS


    1.1. Šių UAB „RMD Linija“ (toliau – Bendrovė) asmens duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Bendrovėje, užtikrinant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804; 2011, Nr. 65-3046) (toliau – Įstatymas), kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir tinkamą įgyvendinimą.

    1.2. Taisyklės taikomos Bendrovės darbuotojams, Bendrovės paskirtiems duomenų tvarkytojams ir jų darbuotojams, tvarkantiems asmens duomenis, nepriklausomai nuo jų priėmimo į darbą sąlygų. Taisyklės taip pat taikomos visiems Bendrovės paskirtiems ekspertams (konsultantams) ir kitiems asmenims, kurie eidami savo pareigas sužino asmens duomenis.

    1.3. Bendrovės darbuotojai, įgalioti tvarkyti asmens duomenis, privalo laikytis šių Taisyklių, turi būti pasirašytinai su jomis supažindinti bei turėti jų kopiją. Bendrovės darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir šiose Taisyklėse.

    1.4. Taisyklėse naudojamos sąvokos:

    1.4.1. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

    1.4.2. Asmens duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.

    1.4.3. Bendrovės registravimo ir valdymo žurnalas – Bendrovės įgalioto (-ų) specialisto (-ų) pildomas žurnalas, skirtas Bendrovei pateiktų skundų, prašymų ir pan., susijusių su asmens duomenų tvarkymu registracijai ir administravimui. Žurnalo forma pridedama prie Taisyklių kaip priedas Nr. 1.

    1.4.4. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis.

    1.4.5. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Duomenų valdytojas yra Bendrovė.

    1.4.6. Ypatingi asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.

    1.4.7. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus Bendrovę, Bendrovės darbuotojus, Duomenų subjektą, Duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai Bendrovės ar Duomenų tvarkytojo įgalioti tvarkyti asmens duomenis.

    1.4.8. Saugumo incidentas – įvykis, veiksmas ar neveikimas, kuris sukelia ar gali sukelti neteisėtą prisijungimą ar sudaryti sąlygas neteisėtai prisijungti prie informacinės sistemos ar elektroninių ryšių tinklo, sutrikdyti ar pakeisti, įskaitant valdymo perėmimą, informacinės sistemos ar elektroninių ryšių tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninius duomenis, panaikinti ar apriboti galimybę naudotis elektroniniais duomenimis, taip pat sudaryti sąlygas pasisavinti ar kitaip panaudoti neviešus elektroninius duomenis tokios teisės neturintiems asmenims.

    1.5. Taisyklių 1.4 punkte nurodytos sąvokos atitinka Įstatymą.

    1.6. Taisyklių nuostatos negali plėsti ar siaurinti Įstatymo taikymo srities bei prieštarauti nustatytiems asmens duomenų tvarkymo principams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

    1.7. Asmens duomenys Bendrovėje tvarkomi vadovaujantis Taisyklėmis ir:

    1.7.1. Įstatymu;

    1.7.2. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298);

    1.7.3. Lietuvos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 bei Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą.

    1.7.4. Pranešimu apie duomenų tvarkymą bei Duomenų apsaugos priemonių aprašu.

    2. PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI

     

    2.1. Bendrovė, vadovaudamasi Lietuvos Respublikos teisės aktais bei šiomis Taisyklėmis asmens duomenis tvarko:

    2.1.1. Elektroninės prekybos tikslu;

    2.1.2. Tiesioginė rinkodaros, reklaminių akcijų (tiesioginės rinkodaros žaidimų, loterijų, konkursų) vykdymo tikslu;

    2.1.3. Kliento dalyvavimo pirkėjų lojalumo (nuolaidų) programoje užtikrinimo, tiesioginės rinkodaros, kiek ji susijusi su lojalumo (nuolaidų) programa tikslu;

    2.1.4. Bendrovės darbuotojų asmens duomenų tvarkymo tikslu, kiek tai numato Lietuvos Respublikos teisės aktai.

    2.2. Bendrovė, vadovaudamasi Lietuvos Respublikos teisės aktais bei šiomis Taisyklėmis tvarko:

    2.2.1. Bendrovės klientų, užsiregistravusių Bendrovės elektroninės parduotuvės klientų paskyroje, taip pat neregistruotų klientų, įsigijusių prekių ar paslaugų elektroninėje parduotuvėje: vardą, pavardę, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą, taip pat duomenis, susijusius su pirkimu ir registracija elektroninės parduotuvės kliento paskyroje (registracijos datą, prekę, kainą, užsakymo datą, užsakymo statusą, kiekį).

    2.2.2. Asmenų, davusių sutikimą dėl jų asmens duomenų tvarkymo tiesioginės rinkodaros tikslu: vardą, pavardę, lytį, gimimo datą, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą, taip pat duomenis, patvirtinančius teisę dalyvauti reklaminėse akcijose, taip pat reklaminių akcijų (žaidimų, loterijų, konkursų) sąlygų išpildymą patvirtinančius dokumentus (pavyzdžiui, prekės pirkimą patvirtinančio kvito datą, numerį ir pan), kiek tai susiję su dalyvavimu reklaminėje akcijoje arba teise dalyvauti žaidime.

    2.2.3. Bendrovės klientų, pirkėjų, turinčių lojalumo (nuolaidų) korteles, asmenų pateikusių prašymą gauti lojalumo (nuolaidų) kortelę, asmenų, davusių sutikimą dėl duomenų tvarkymo lojalumo kortelės administravimo bei tiesioginės rinkodaros, kiek ji susijusi su lojalumo programa, tikslu: vardą, pavardę, gimimo datą, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą taip pat duomenis susijusius su pirkimo istorija (prekę, pirkimo datą, suteiktą nuolaidą ir sumą).

    2.2.4. Asmenų, dirbančių Bendrovėje, vardą, pavardę, gimimo datą, asmens kodo numerį, socialinio draudimo numerį, lytį, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą, atlyginimo dydį, vaikų skaičių, šeimyninę padėtį (vedęs, ištekėjusi, išsiskyręs) duomenis apie darbingumo lygį, duomenis apie nedarbingumą, išsilavinimą, kvalifikaciją, duomenis apie išieškojimą iš darbuotojo atlyginimo, duomenis apie darbuotojo šaukimą liudytoju, pareigų pavadinimą, atliekamas/atliktas darbines funkcijas, atostogas, komandiruotes, drausmines nuobaudas, atsiskaitomosios banko sąskaitos numerį, taip pat kitus asmens duomenis, kai teisės aktai įpareigoja Bendrovę juos tvarkyti.

    2.3. Bendrovės darbuotojai ir/ar Bendrovės įgalioti duomenų tvarkytojai ir jų darbuotojai, tvarkantys asmens duomenis, privalo būti apmokyti tvarkyti tokius duomenis.

    2.4. Bendrovės darbuotojai ir/ar Bendrovės įgalioti duomenų tvarkytojai ir jų darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo užtikrinti, kad asmens duomenys būtų:

    2.4.1. renkami tik apibrėžtais ir teisėtais, Taisyklių 2.1 punkte nurodytais tikslais;

    2.4.2. tvarkomi tiksliai, sąžiningai ir teisėtai;

    2.4.3. tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys būtų ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;

    2.4.4. tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;

    2.4.5. saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

    2.4.6. tvarkomi pagal šiame ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus laikomi tokiu pavidalu, kad duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių jie buvo surinkti.

    2.5. Bendrovės, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

    3. ELEKTRONINĖS PREKYBOS DUOMENŲ TVARKYMO TIKSLAS, TVARKYMO BŪDAS, TEISINIS PAGRINDAS IR SAUGOJIMO TRUKMĖ


    3.1. Bendrovė tvarko Taisyklių 2.2.1 punkte nurodytus Bendrovės klientų, užsiregistravusių elektroninės parduotuvės klientų paskyroje, taip pat neregistruotų klientų, įsigijusių prekių ar paslaugų elektroninėje parduotuvėje asmens duomenis elektroninės prekybos tikslu, Įstatymo 5 straipsnio 1 dalies 1 ir 2 punkte nurodytais teisiniais pagrindais.

    3.2. Bendrovės klientų, užsiregistravusių elektroninės parduotuvės klientų paskyroje, taip pat neregistruotų klientų, įsigijusių prekių ar paslaugų elektroninėje parduotuvėje asmens duomenys elektroninės prekybos tikslu tvarkomi 4 metus nuo paskutinio kliento pirkimo elektroninėje parduotuvėje momento.

    4. ELEKTRONINĖS PREKYBOS DUOMENŲ RINKIMAS, UŽRAŠYMAS, SAUGOJIMAS

     

    4.1. Taisyklių 2.2.1 punkte nurodytus asmens duomenis elektroninės prekybos tikslu Bendrovė gauna tiesiogiai iš duomenų subjektų – Bendrovės klientų, užsiregistravusių elektroninės parduotuvės klientų paskyroje, taip pat neregistruotų klientų, įsigijusių prekių ar paslaugų elektroninėje parduotuvėje.

    4.2. Bendrovė tvarko tik Taisyklių 4.1 punkte nurodytu būdu gautus duomenis. Bet kokiu kitu būdu gauti duomenų subjekto asmens duomenys Bendrovėje negali būti tvarkomi.

    4.3. Bendrovė turi teisę duomenų tvarkymo veiksmams (prekių pristatymo, serverio paslaugos ir pan. tikslais) pasitelkti duomenų tvarkytojus. Duomenų tvarkytojai atlieka duomenų subjektų asmens duomenų tvarkymo veiksmus, jiems pavestus rašytine sutartimi arba atskiru nurodymu, išskyrus atvejus, kai įstatymai ir kiti teisės aktai nustato kitaip.

    4.4. Bendrovės pasirinkti duomenų tvarkytojai privalo garantuoti reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi.

    4.5. Asmens duomenis, suėjus asmens duomenų tvarkymo terminams, nurodytiems Taisyklių 3 skyriuje, Bendrovėje sunaikina, Bendrovės direktoriaus įgaliotas darbuotojas arba duomenų tvarkytojas.

    5. TIESIOGINĖS RINKODAROS DUOMENŲ TVARKYMO TIKSLAS, TEISINIS PAGRINDAS, TVARKYMO BŪDAS IR SAUGOJIMO TRUKMĖ

     

    5.1. Bendrovė Taisyklių 2.2.2 punkte nurodytus asmens duomenis tvarko tiesioginės rinkodaros, reklaminių akcijų (tiesioginės rinkodaros žaidimų, loterijų, konkursų) vykdymo tikslu, duomenų subjekto sutikimu (Įstatymo 5 straipsnio 1 dalies 1 punktas).

    5.2. Tiesioginės rinkodaros tikslu asmens duomenys tvarkomi 10 metų nuo sutikimo tvarkyti jo asmens duomenis gavimo momento. Kai asmens duomenys tvarkomi reklaminių akcijų (tiesioginės rinkodaros žaidimų, loterijų, konkursų) metu, asmens duomenys tvarkomi 1 metus po reklaminės akcijos rezultatų, laimėtojų paskelbimo. Suėjus duomenų tvarkymo terminui, asmens duomenys sunaikinami bendrovės įgalioto darbuotojo.

    6. TIESIOGINĖS RINKODAROS DUOMENŲ RINKIMAS, UŽRAŠYMAS, SAUGOJIMAS, NAIKINIMAS


    6.1. Taisyklių 2.2.2 punkte nurodytus asmens duomenis tiesioginės rinkodaros tikslu Bendrovė gauna tiesiogiai iš duomenų subjektų, jiems aiškiai išreiškus valią (sutikimą) gauti Bendrovės tiesioginės rinkodaros pasiūlymus, klientams, duomenų rinkimo metu neprieštaravusiems dėl tokio asmens duomenų tvarkymo.

    6.2. Bendrovė tvarko tik Taisyklių 6.1 punkte nurodytu būdu gautus duomenis. Bet kokiu kitu būdu gauti duomenų subjekto asmens duomenys Bendrovėje negali būti tvarkomi.

    6.3. Bendrovė teikdama paslaugas ar parduodama prekes Įstatymo nustatyta tvarka ir sąlygomis gavusi iš duomenų subjektų, esančių jo klientais, kontaktinius asmens duomenis (vardą, pavardę ir adresą), šiuos duomenis gali naudoti be atskiro duomenų subjekto sutikimo tik savo paties panašių prekių ar paslaugų rinkodarai, jeigu klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio duomenų naudojimo pirmiau nurodytais tikslais, jeigu klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo teikiant kiekvieną pasiūlymą.

    6.4. Bendrovė turi teisę duomenų tvarkymo veiksmams (duomenų rinkimo, serverio paslaugos ir pan. tikslais) pasitelkti duomenų tvarkytojus. Duomenų tvarkytojai atlieka duomenų subjektų asmens duomenų tvarkymo veiksmus, jiems pavestus rašytine sutartimi arba atskiru nurodymu, išskyrus atvejus, kai įstatymai ir kiti teisės aktai nustato kitaip.

    6.5. Bendrovės pasirinkti duomenų tvarkytojai privalo garantuoti reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi.

    6.6. Asmens duomenis, suėjus asmens duomenų tvarkymo terminams, nurodytiems Taisyklių 5 skyriuje, Bendrovėje sunaikina, Bendrovės direktoriaus įgaliotas darbuotojas arba duomenų tvarkytojas.

    7. KLIENTŲ DALYVAVIMO PIRKĖJŲ LOJALUMO (NUOLAIDŲ) PROGRAMOJE UŽTIKRINIMO BEI TIESIOGINĖS RINKODAROS, KIEK JI SUSIJUSI SU LOJALUMO (NUOLAIDŲ) PROGRAMA TIKSLU DUOMENŲ TVARKYMO TIKSLAS, TEISINIS PAGRINDAS RINKIMAS, TVARKYMO BŪDAS IR SAUGOJIMO TRUKMĖ


    7.1. Bendrovė tvarko Taisyklių 2.2.3 punkte nurodytus asmens duomenis klientų dalyvavimo pirkėjų lojalumo (nuolaidų) programoje užtikrinimo bei tiesioginės rinkodaros, kiek ji susijusi su lojalumo (nuolaidų) programos tikslu, Įstatymo 5 straipsnio 1 dalies 1 punkte nurodytu teisiniu pagrindu.

    7.2. Taisyklių 2.2.3 punkte minimi asmens duomenys klientų dalyvavimo pirkėjų lojalumo (nuolaidų) programoje užtikrinimo bei tiesioginės rinkodaros, kiek ji susijusi su lojalumo (nuolaidų) programos tikslu aktyvioje duomenų bazėje tvarkomi 10 metų nuo paskutinio kortelės panaudojimo momento. Suėjus duomenų tvarkymo terminui, asmens duomenys sunaikinami.

    8. KLIENTŲ DALYVAVIMO PIRKĖJŲ LOJALUMO (NUOLAIDŲ) PROGRAMOJE UŽTIKRINIMO BEI TIESIOGINĖS RINKODAROS, KIEK JI SUSIJUSI SU LOJALUMO (NUOLAIDŲ) PROGRAMA TIKSLU DUOMENŲ PATEIKIMO DUOMENŲ RINKIMAS, UŽRAŠYMAS, SAUGOJIMAS


    8.1. Taisyklių 2.2.3 punkte nurodytus asmens duomenis klientų dalyvavimo pirkėjų lojalumo (nuolaidų) programoje užtikrinimo bei tiesioginės rinkodaros, kiek ji susijusi su lojalumo (nuolaidų) programos tikslu Bendrovė gauna tiesiogiai iš duomenų subjektų – klientų, pirkėjų, turinčių lojalumo (nuolaidų) korteles, asmenų, pateikusių prašymą gauti šią kortelę, asmenų, davusių sutikimą dėl duomenų tvarkymo lojalumo kortelės administravimo bei tiesioginės rinkodaros, kiek ji susijusi su lojalumo programos tikslu.

    8.2. Bendrovė tvarko tik Taisyklių 8.1 punkte nurodytu būdu gautus duomenis. Bet kokiu kitu būdu gauti duomenų subjekto asmens duomenys Bendrovėje negali būti tvarkomi.

    8.3. Bendrovė turi teisę duomenų tvarkymo veiksmams (duomenų rinkimo, serverio paslaugos ir pan. tikslais) pasitelkti duomenų tvarkytojus. Duomenų tvarkytojai atlieka duomenų subjektų asmens duomenų tvarkymo veiksmus, jiems pavestus rašytine sutartimi arba atskiru nurodymu, išskyrus atvejus, kai įstatymai ir kiti teisės aktai nustato kitaip.

    8.4. Bendrovės pasirinkti duomenų tvarkytojai privalo garantuoti reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi.

    8.5. Asmens duomenis, suėjus asmens duomenų tvarkymo terminams, nurodytiems Taisyklių 7 skyriuje, Bendrovėje sunaikina, Bendrovės direktoriaus įgaliotas darbuotojas arba duomenų tvarkytojas.

    9. BENDROVĖS DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO TEISINIS PAGRINDAS, TVARKYMO BŪDAS IR SAUGOJIMO TRUKMĖ

    9.1. Bendrovė tvarko Taisyklių 2.2.4 punkte nurodytus asmenų, dirbančių Bendrovėje, vardą, pavardę, gimimo datą, asmens kodo numerį, socialinio draudimo numerį, lytį, gyvenamąją vietą (adresą), telefono ryšio numerį, elektroninio pašto adresą, atlyginimo dydį, vaikų skaičių, šeimyninę padėtį (vedęs, ištekėjusi, išsiskyręs) duomenis apie darbingumo lygį, duomenis apie nedarbingumą, išsilavinimą, kvalifikaciją, jų įgijimo datas, darbo stažą, duomenis apie išieškojimą iš darbuotojo atlyginimo, duomenis apie darbuotojo šaukimą liudytoju, pareigų pavadinimą, atliekamas/atliktas darbines funkcijas, atostogas, komandiruotes, drausmines nuobaudas, atsiskaitomosios banko sąskaitos numerį, taip pat kitus asmens duomenis, kai teisės aktai įpareigoja Bendrovę juos tvarkyti, pagal Įstatymo 5 straipsnio 1 dalies 3 punkte nurodytą teisėto tvarkymo kriterijų (pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis).

    9.2. Asmenų, dirbančių Bendrovėje, duomenys saugojami Lietuvos vyriausiojo archyvaro rekomenduojamais dokumentų saugojimo terminais. Suėjus duomenų tvarkymo terminui duomenys sunaikinami arba įstatymų nustatyta tvarka perduodami į archyvą.

    10. BENDROVĖS DARBUOTOJŲ DUOMENŲ RINKIMAS, UŽRAŠYMAS, SAUGOJIMAS, NAIKINIMAS

    10.1. Taisyklių 2.2.4 punkte nurodytus Bendrovės darbuotojų duomenis Bendrovė gauna tiesiogiai iš duomenų subjektų, kai duomenų subjektas su Bendrove sudaro darbo sutartį ir savo valia pateikia savo asmens duomenis, taip pat įstatymų nustatytais atvejais, Bendrovė asmens duomenis gauna iš valstybės įstaigų, institucijų ir organizacijų, kai pagal teisės aktus Bendrovė yra įpareigota tvarkyti asmens duomenis.

    10.2. Bendrovė turi teisę duomenų tvarkymo veiksmams pasitelkti duomenų tvarkytojus, pavyzdžiui, buhalterinių dokumentų apskaitą tvarkančias Bendroves. Duomenų tvarkytojai atlieka duomenų subjektų asmens duomenų tvarkymo veiksmus, jiems pavestus rašytine sutartimi arba atskiru nurodymu, išskyrus atvejus, kai įstatymai ir kiti teisės aktai nustato kitaip.

    10.3. Bendrovės pasirinkti duomenų tvarkytojai privalo garantuoti reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi.

    10.4. Asmens duomenis, suėjus asmens duomenų tvarkymo terminams, nurodytiems Taisyklių 9 skyriuje, Bendrovėje sunaikina, Bendrovės direktoriaus įgaliotas darbuotojas arba duomenų tvarkytojas arba perduoda į archyvą.

    11. ASMENS DUOMENŲ SUBJEKTO TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

    11.1. Duomenų subjektas, pateikęs Bendrovei ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius 1 metus.

    11.2. Asmens duomenys duomenų subjektui susipažinti teikiami, taip pat taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus duomenų subjekto prašymą. Duomenų subjektui kreipiantis į Bendrovę raštu, prie prašymo pridedamas notaro patvirtintas asmens tapatybę patvirtinančio dokumento nuorašas, išskyrus atvejus, kai rašytinis prašymas pateikiamas tiesiogiai Bendrovės darbuotojams ir prašymo pateikimo metu yra galimybė identifikuoti prašymą teikiantį duomenų subjektą.

    11.3. Duomenų subjektų prašymus dėl tvarkomų asmens duomenų priima ir Bendrovės registravimo ir valdymo žurnale užregistruoja Bendrovės direktoriaus įgaliotas darbuotojas(-ai).

    11.4. Bendrovė, gavusi duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo, privalo atsakyti, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu.

    11.5. Duomenų subjektui teikiant Bendrovės tvarkomus duomenų subjekto asmens duomenis, Bendrovė užtikrina tinkamas organizacines ir technines duomenų saugumo priemones, kad iš pateiktų duomenų nebūtų galima identifikuoti kitų duomenų subjektų.

    11.6. Bendrovės tvarkomi duomenų subjekto asmens duomenys kartą per kalendorinius metus duomenų subjektui teikiami neatlygintinai. Teikiant duomenis atlygintinai vadovaujamasi principu, kad atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų, bei Lietuvos Respublikos Vyriausybės 2011 m. rugsėjo 14 d. nutarimu Nr. 1074 „Dėl Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimo Nr. 228 „Dėl Duomenų teikimo duomenų subjektui atlyginimo taisyklių patvirtinimo" pakeitimo“, patvirtintomis Duomenų teikimo duomenų subjektui atlyginimo taisyklėmis.

    11.7. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Bendrovę, Bendrovė nedelsdama privalo asmens duomenis patikrinti ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdama ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

    11.8. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į Bendrovę, Bendrovė nedelsdama privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdama sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

    11.9. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti; jei duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis; jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

    11.10. Bendrovė nedelsdama praneša duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.

    11.11. Bendrovei abejojant duomenų subjekto pateiktų asmens duomenų teisingumu, Bendrovė sustabdo tokių duomenų tvarkymo veiksmus, duomenis patikrina ir patikslina. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.

    11.12. Bendrovė nedelsdama informuoja duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.

    11.13. Bendrovė duomenų subjekto prašymu praneša duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.

    11.14. Jeigu nustatoma, kad Bendrovė duomenų subjekto asmens duomenis tvarko neteisėtai ir nesąžiningai, šie duomenys nedelsiant sunaikinami Bendrovės iniciatyva arba duomenų subjekto prašymu.

    11.15. Duomenų subjektas Įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys. Bendrovė prieš rinkdama asmens duomenis supažindina duomenų subjektą apie jo teisę nesutikti, kad būtų tvarkomi jo asmens duomenys.

    11.16. Duomenų subjektas rašytinį pranešimą apie nesutikimą dėl asmens duomenų tvarkymo pateikia Bendrovei asmeniškai, paštu ar elektroninių ryšių priemonėmis. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, Bendrovė privalo nedelsdama neatlygintinai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.

    11.17. Kai asmens duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, nenurodydamas nesutikimo motyvų. Duomenų subjekto prašymu Bendrovė privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.


    12. ASMENS DUOMENŲ TEIKIMAS IR PRIEIGA PRIE ASMENS DUOMENŲ

    12.1. Asmens duomenys šiose Taisyklėse nustatyta apimtimi ir tvarka gali būti teikiami tik duomenų subjektui, taip pat kitiems duomenų gavėjams, kai pagal įstatymus, teismo sprendimus ir kitus teisės aktus Bendrovė yra įpareigota pateikti asmens duomenis.

    12.2. Asmens duomenys Taisyklių 12.1 punkte nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisiniai pagrindai, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Duomenų gavėjo prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį, prioritetas turi būti teikiamas automatiniam duomenų teikimui, o teikiant asmens duomenis pagal duomenų gavėjo prašymą, – duomenų teikimui elektroninių ryšių priemonėmis. Jeigu prašymas pateikti asmens duomenis neatitinka Įstatymo 6 straipsnio reikalavimų, asmens duomenys pagal tokį prašymą nėra teikiami.

    12.3. Asmens duomenis teikia Bendrovės direktoriaus įgaliotas darbuotojas arba duomenų tvarkytojas apie duomenų teikimą ar atsisakymą pateikti asmens duomenis padarydamas atitinkamą įrašą Bendrovės registravimo ir valdymo žurnale. Vaizdo duomenys įrašomi ir pateikiami saugioje duomenų laikmenoje (CD, DVD, kt.). Duomenų gavėjai privalo atlyginti Bendrovei duomenų teikimo išlaidas.

    12.4. Bendrovės direktoriaus įgaliotas darbuotojas arba duomenų tvarkytojas raštu pateikia duomenų gavėjui atsakymą į prašymą pateikti asmens duomenis. Informacija duomenų subjektui pateikiama ne vėliau kaip per 30 (trisdešimt) kalendorinių dienų nuo prašymo gavimo Bendrovėje dienos.

    12.5. Duomenų tvarkymo veiksmus atlieka bendrovės darbuotojai arba Bendrovės duomenų tvarkytojas. Prieiga prie asmens duomenų suteikiama tik Bendrovės direktoriaus įsakymu įgaliotiems asmenims arba Bendrovės paskirtiems duomenų tvarkytojams. Prieiga prie asmens duomenų suteikiama tik tiems asmenims, kuriems asmens duomenys yra reikalingi jų darbo funkcijoms vykdyti.

    12.6. Bendrovė savo nuožiūra turi teisę bet kada paskirti/ pakeisti paskirtą duomenų tvarkytoją. Bendrovė per 30 dienų nuo duomenų tvarkytojo paskyrimo informuoja Valstybinę duomenų apsaugos inspekciją apie duomenų tvarkytojo paskyrimą, nurodydama duomenų tvarkytojui priskirtas teises ir pareigas bei konkrečius asmens duomenų tvarkymo veiksmus.

    12.7. Prieigą turintys atsakingi asmenys su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti jiems yra suteiktos teisės.

    12.8. Bendrovės darbuotojų, duomenų tvarkytojų darbuotojų, turinčių teisę atlikti duomenų tvarkymo veiksmus, sąrašas pridedamas prie Taisyklių.

    13. ASMENS DUOMENŲ SAUGUMO TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS

    13.1. Asmens duomenų tvarkymą reglamentuoja ir jo teisėtumą užtikrina šios Bendrovės direktoriaus įsakymu patvirtintos Taisyklės, kurios privalo būti aktualios, laiku atnaujinamos ir nepertraukiamą laiką galiojančios. Pasikeitus Asmens duomenų valdytojų valstybės registre nurodytiems Bendrovės duomenims, įskaitant, bet neapsiribojant, duomenų tvarkytojo duomenis, atitinkamai pakeičiamos Taisyklės.

    13.2. Šiame skyriuje nurodytos asmens duomenų saugumo priemonės, kurios įgyvendinamos Bendrovės ir Bendrovės paskirtų duomenų tvarkytojų, siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

    13.3. Jeigu Bendrovė įgalioja asmens duomenis tvarkyti duomenų tvarkytoją, duomenų tvarkytoju išrenkamas tik toks ūkio subjektas, kuris garantuotų teikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

    13.4. Asmens duomenų saugumo priemonės nustatomos atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos reikalavimus, galiojančius teisės aktus bei atliekant asmens duomenų rizikos vertinimą. Asmens duomenų saugumo techninės ir organizacinės priemonės gali būti, o nustačius padidėjusią riziką – privalo būti keičiamos ir/ar pildomos naujomis saugumo priemonėmis. Nustačius naujas asmens duomenų saugumo priemones, atitinkamai pakeičiamos/papildomos Taisyklės.

    13.5. Kiekvienam darbuotojui, kuriam suteikta prieiga prie asmens duomenų, tvarkomų automatiniu būdu, turi būti suteiktas unikalus prisijungimo vardas ir vienkartinis slaptažodis, kurį pirmo prisijungimo metu privalu pasikeisti į nuolatinį slaptažodį. Nuolatinis slaptažodis negali būti trumpesnis nei 7 simbolių. Slaptažodis keičiamas ne rečiau kaip kartą per 2 (du) mėnesius. Slaptažodis negali kartotis su ankščiau naudotais slaptažodžiais.

    13.6. Darbuotojas yra atsakingas už slaptažodžio konfidencialumą ir įsipareigoja jo neatskleisti tretiesiems asmenims.

    13.7. Bendrovės direktoriaus įgalioti darbuotojai užtikrina, kad Bendrovėje nepertraukiamai yra naudojamos saugumo priemonės, kurios: leidžia apsaugoti duomenų bazes nuo neteisėto prisijungimo elektroninių ryšių priemonėmis, fiksuoti ir kontroliuoti registravimosi bei teisių gavimo pastangas, nustatyti leistinų nepavykusių bandymų prisijungti prie duomenų bazės(-ių) skaičių.

    13.8. Bendrovės direktoriaus įgalioti darbuotojai taip pat atsakingi už: kompiuterinės įrangos apsaugą diegiant ir atnaujinant antivirusines programas, saugių protokolų ir (arba) slaptažodžių naudojimą, Bendrovės direktoriaus įgalioti darbuotojai užtikrina, kad nešiojamuosiuose kompiuteriuose, jeigu jie naudojami ne asmens duomenų valdytojo vidiniame duomenų perdavimo tinkle, esantys asmens duomenys turi būti apsaugoti tokiomis apsaugos priemonėmis, kurios atitiktų duomenų tvarkymo keliamą riziką.

    13.9. Į Bendrovės patalpas, kuriose yra saugomi asmens duomenys, patenka tik Bendrovės įgalioti asmenys. Bendrovės įgalioti asmenys, nesantys Bendrovės darbuotojais, į nurodytas patalpas patenka tik kartu su įgaliotu Bendrovės darbuotoju. Klientai į patalpas, kuriose yra saugomi asmens duomenys, patenka tik kartu su darbuotoju, turinčiu darbuotojo pažymėjimą.

    13.10. Bendrovės darbuotojai, kuriems šių Taisyklių arba Bendrovės direktoriaus įsakymo pagrindu suteikta prieiga prie asmens duomenų, privalo laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja taip pat ir perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.

    13.11. Bendrovės darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į Bendrovės direktorių, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.

    13.12. Bendrovėje įvykus duomenų saugumo incidentui, apie duomenų saugumo incidentus, saugumo priemones, kurių imtasi siekiant apsaugoti asmens duomenis, nedelsiant informuojamas Bendrovės direktorius.

    13.13. Avarijos atveju, asmens duomenys, programinė įranga atstatomi iš atsarginių kopijų, jeigu atsarginės kopijos yra daromos.

    13.14. Duomenų valdytojas, Duomenų tvarkytojai ir jų darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, privalo būti apmokyti tvarkyti asmens duomenis prieš asmens duomenų tvarkymą.

    13.15. Visi Duomenų valdytojo ir Duomenų tvarkytojo darbuotojai, kuriems suteikta teisė tvarkyti asmens duomenis, privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti asmens duomenis ir būti susipažinę su duomenų tvarkymo (valdymo) sistemomis ir asmens duomenų saugą reglamentuojančiais teisės aktais, prieš asmens duomenų tvarkymą.

    13.16. Duomenų valdytojas ir Duomenų tvarkytojas ne rečiau kaip kartą per dvejus metus inicijuoja darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, mokymą informacijos saugos klausimais. Už Duomenų tvarkytojo darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, supažindinimą su šių Taisyklių nuostatomis ir kitais asmens duomenų saugą įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas Duomenų tvarkytojas.

    13.17. Pasikeitus Asmens duomenų valdytojų valstybės registre nurodytiems Bendrovės duomenims, įskaitant, bet neapsiribojant, duomenų tvarkytojo duomenis, atitinkamai pakeičiamos Taisyklės.

    14. ASMENS DUOMENŲ TVARKYMO RIZIKOS VERTINIMAS

    14.1. Atsižvelgiant į saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką Duomenų valdytojo asmens duomenų tvarkymas priskiriamas antrajam saugumo lygiui, vadovaujantis Bendriųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298) 7.2 punktu.

    14.2. Duomenų valdytojas kasmet organizuoja asmens duomenų tvarkymo rizikos vertinimą. Prireikus, Duomenų valdytojas gali organizuoti neeilinį duomenų tvarkymo rizikos veiksnių vertinimą. Asmens duomenų tvarkymo rizikos vertinimą gali atlikti Duomenų valdytojo įgaliotas Duomenų tvarkytojas.

    14.3. Asmens duomenų tvarkymo rizikos vertinimas surašomas rizikos įvertinimo ataskaitoje, kuris pateikiamas Duomenų valdytojui. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus:

    14.3.1. Subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas asmens duomenų teikimas, fiziniai asmens duomenų tvarkymo bazių, sistemų ir technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

    14.3.2. Subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenų bazėmis, sistemomis asmens duomenims gauti, asmens duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

    14.3.3. Veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte.

    14.4. Asmens duomenų tvarkymo rizikos veiksniai vertinami nustatant jų įtakos asmens duomenų saugai laipsnius:

    14.4.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atstatyti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

    14.4.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atstatyti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

    14.4.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos, neveikia visa duomenų bazė, asmens duomenų tvarkymo sistema.

    14.5. Asmens duomenų tvarkymo rizikos vertinimo metu atliekami darbai:

    14.5.1. tvarkomų asmens duomenų išteklių inventorizacija;

    14.5.2. įtakos duomenų bazei, duomenų tvarkymo sistemos veiklai vertinimas;

    14.5.3. grėsmės ir pažeidimų analizė;

    14.5.4. liekamosios rizikos vertinimas.

    14.6. Duomenų valdytojas, atsižvelgdamas į asmens duomenų tvarkymo rizikos įvertinimo ataskaitą, prireikus, tvirtina asmens duomenų tvarkymo rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis duomenų bazių, duomenų tvarkymo sistemos bei asmens duomenų tvarkymo rizikos valdymo priemonėms įgyvendinti.

    14.7. Pagrindiniai asmens duomenų saugos priemonių parinkimo principai yra šie:

    14.7.1. Liekamoji rizika turi būti sumažinta iki priimtino lygio;

    14.7.2. Duomenų saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

    14.8. Kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės asmens duomenų saugos priemonės.

    15. ATSAKOMYBĖ

    15.1. Visi šiose Taisyklėse nurodyti ir/ar Bendrovės direktoriaus įsakymu paskirti darbuotojai, turintys teisę prieiti prie asmens duomenų ir juos tvarkyti už neteisėtus, šioms Taisyklėms, prieštaraujančius veiksmus atsako Įstatymo, Lietuvos Respublikos civilinio kodekso ir Lietuvos Respublikos darbo kodekso nustatyta tvarka.

    15.2. Už tinkamo ir teisėto asmens duomenų tvarkymo kontrolę Bendrovėje atsakingas Bendrovės direktoriaus įgaliotas darbuotojas.

    Šiose Taisyklėse nurodytas ir/arba Bendrovės direktoriaus įsakymu paskirtas specialistas, atsakingas už duomenų apsaugos kontrolę, neatlieka asmens duomenų administratoriaus funkcijų.