PRIVATUMO POLITIKA
1. BENDROSIOS NUOSTATOS IR SĄVOKOS
Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;
Asmens duomenų valdytojas – UAB „TALESTA”, įmonės kodas: į/k 301557763, buveinės adresas: H. Manto g. 22, LT-92131 Klaipėda, tel. +370 679 77833, el. paštas info@talesta.lt (toliau– Įmonė).
Asmens duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri UAB „Talesta“ vardu tvarko asmens duomenis.
Asmens duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
Asmens duomenų subjektas Įmonėje yra Įmonės darbuotojas, klientas – nuomininkas fizinis asmuo ar nuomininko juridinio asmens atstovas (toliau tekste Nuomininkai), kiti asmenys – Mados ir verslo centro „Herkaus galerija“ klientai, lankytojai, asmenys dalyvaujantys Įmonės organizuojamose loterijose (toliau tekste Centro lankytojai), paslaugas Įmonei teikiančių juridinių asmenų atstovai, darbuotojai ar fiziniai asmenys (paslaugų tiekėjų atstovai); kandidatas į Įmonės darbuotojus, nepaisant jo asmens duomenų gavimo būdo: kai įmonė pati ar trečiųjų asmenų pagalba vykdo atranką, kai duomenis pateikia kandidatas savo iniciatyva.
Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
2. ASMENS DUOMENŲ TVARKYMAS IR APSAUGA
Asmens duomenų tvarkymo principai
Įmonė, tvarkydama asmens duomenis, laikosi šių principų:
1. Teisėtumo, sąžiningumo, skaidrumo – duomenys renkami teisėtu, skaidriu, sąžiningu būdu, informuojant apie asmens duomenų tvarkymą pateikiant visą būtiną informaciją ;
2. Tikslo apribojimo – asmens duomenys tvarkomi tik teisėtais, apibrėžtais tikslais ir su jais suderintais tikslais;
3. Duomenų kiekio mažinimo – tvarkomi tik adekvatūs asmens duomenys, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie buvo tvarkomi;
4. Tikslumo – duomenys tikslūs ir atnaujinami, kurie netikslūs yra tikslinami, ištaisomi;
5. Saugojimo trukmės apribojimo – yra laikomi tokia forma, kad duomenų subjekto tapatybę būtų galima nustatyti ne ilgiau nei riekia tikslas, dėl kurių jie buvo tvarkomi;
6. Vientisumo ir konfidencialumo – tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones, būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo ar neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo;
Atskaitomybės – Įmonė deda visas pastangas, kad būtų laikomasi aukščiau išvardintų principų, yra atvira pastaboms ir pasiūlymams asmens duomenų tvarkymo tobulinimui.
Asmens duomenų tvarkymo pagrindas, tikslai, kategorijos, tvarkymo būdas, saugojimo terminai
Asmens duomenų tvarkymo pagrindai Įmonėje yra:
– su duomenų subjektu sudarytos sutarties vykdymas arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
– duomenų subjekto sutikimas tvarkyti jo asmens duomenis;
– norminiuose teisės aktuose nustatytų Įmonei taikomų prievolių vykdymas;
– teisėtas Įmonės interesas.
Asmens duomenų tvarkymo tikslai:
1. Iš darbo sutarties pasirašymo kylančių teisinių prievolių vykdymui (informacijos pateikimui institucijoms, darbo medicinos tikslu – siekiant nustatyti darbuotojo galimybę dirbti konkretų darbą, lengvatų, garantijų darbuotojui taikymui, darbuotojų saugos ir sveikatos užtikrinimui);
2. Elektroninės komunikacijos stebėjimui, siekiant apsisaugoti nuo kenkėjiškų programų bei užtikrinti Įmonės veiklos efektyvumą;
3. Asmens duomenų subjektų ir turto saugumui užtikrinti vykdant videostebėjimą;
4. Įmonės pristatymui, reklamai, skelbiant darbuotojų duomenis Įmonės interneto puslapyje;
5. Tiesioginei rinkodarai vykdyti (reklaminių el. laiškų, sms žinučių siuntimui);
6. Rinkos vertinimui atlikti;
Asmens duomenų kategorijos ir saugojimo terminai:
Įmonė duomenis (priklausomai nuo kategorijos) saugo žemiau nurodytais terminais arba tiek, kiek reikalingi tikslams, dėl kurių asmens duomenys buvo tvarkomi, pasiekti. Duomenims tapus neaktualiais ar suėjus Įmonės turimų asmens duomenų saugojimo terminams, jie sunaikinami arba teisės aktų nustatyta tvarka perduodami į archyvą. Naudojant duomenis teismo procese, pateikiant informaciją kontrolės ir priežiūros institucijoms ar kitais norminių teisės aktų nustatytais atvejais, asmens duomenys saugomi iki teismo proceso, institucijos tyrimo/patikrinimo pabaigos, ar norminio teisės akto numatyto tikslo pasiekimo.
Nuomininkų:
– Vardas, pavardė, parašas;
– Paso, asmens tapatybės kortelės informacija;
– Telefono numeris;
– Elektroninio pašto adresas;
– Gyvenamosios vietos adresas.
Ši informacija būtina aukščiau nurodytiems tikslams Nr. 4, 5, pasiekti, yra tvarkoma Įmonės darbuotojų – buhalterės, turto valdytojo ir turto plėtros vadovo, saugoma.
Centro lankytojų:
– Vardas, pavardė;
– Telefono numeris;
– Elektroninio pašto adresas.
Įmonės organizuojamų akcijų metu rengiamos loterijos, kur Centro lankytojai, norintys dalyvauti loterijoje, savanoriškai, išreikšdami savo sutikimą raštu, užpildo loterijos kuponus, pateikdami aukščiau nurodytą informaciją apie save. Ši informacija būtina aukščiau nurodytiems tikslams Nr. 4, 5, 6 pasiekti, yra tvarkoma Įmonės darbuotojų – turto valdytojo ir verslo plėtros vadovo, saugoma iki tol, kol duomenų subjektas atšaukia savo sutikimą tvarkyti jo asmens duomenis.
Asmens duomenų tvarkymo būdas:
Įmonė asmens duomenis tvarko automatiniu būdu (suvedant popierinių anketų duomenis į kompiuterines laikmenas) ir neautomatiniu būdu (popierinės formos dokumentai).
– Nuomininko asmens duomenys sužinomi jam pačiam, jeigu tai fizinis asmuo, ar jo atstovui (jeigu tai juridinis asmuo) pateikiant informaciją ir renkami nuomos sutartyse;
– Fragmentinė informacija apie Centro lankytoją gaunama iš vaizdo kamerų;
– Gaunama iš trečiųjų šalių (paslaugų Įmonei tiekėjų) sutarčių pagrindu;
– Asmens duomenys gaunami iš renginių metu užpildytų kuponų, anketų;
– Asmens duomenys gaunami iš internetinėje svetainėje www.herkausgalerija.lt užpildytos užklausos formos.
Duomenis tvarkant automatiniu būdu:
– Prieiga prie asmens duomenų suteikiama tik tiems darbuotojams, kuriems informacija būtina jų darbo funkcijoms vykdyti pagal jų kompetencijas;
– Išduoti mobilieji telefonai apsaugoti PIN;
– Prie kiekvienam darbuotojui darbui suteikto kompiuterio prisijungiama slaptažodžio, žinomo tik darbuotojui, pagalba;
– Darbo metu naudojama klaviatūros užrakinimo rankiniu būdu funkcija;
– Kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinės programos įdiegimas, periodiškai vykdomi atnaujinimai).
Duomenis tvarkant neautomatiniu būdu:
– Įgaliojimas tvarkyti asmens duomenis suteikiamas konkrečiam Įmonės darbuotojui pagal jo darbo funkcijas;
– Dokumentai su informacija apie duomenų subjektą saugomi rakinamuose stalčiuose, prieinamuose tik už atitinkamus asmens duomenis atsakingiems darbuotojams.
Asmens duomenų perdavimas
Įmonės turimi asmens duomenys gali būti teikiami:
– darbuotojų asmens duomenys paslaugų Įmonei tiekėjams (auditoriams, teisininkams, buhalterines, IT, darbo saugos ir sveikatos, personalo valdymo, ryšio paslaugas teikiančioms įmonėms ir kt.);
– duomenų tvarkytojams. Tokiu atveju jiems taip pat taikomas BDAR, Asmens duomenų apsaugos įstatymas ir kiti norminiai teisės aktai;
– tretiesiems asmenims – valdžios, viešojo administravimo, kontrolės ir priežiūros institucijoms, teismams (VMI, Sodra, policija, muitinė, pasienio tarnyba ir kt.).
Perduodant duomenis laikomasi duomenų mažinimo principo, tai yra teikiama tik tiek ir tokių duomenų, būtinų atitinkamam tikslui pasiekti. Įmonė nuolat deda pastangas ieškoti būdų šio principo įgyvendinimui.
3. DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA
– Duomenų subjektų teisės:
Duomenų subjektas turi teisę žinoti (būti informuotam) apie savo asmens duomenų tvarkymą– ši teisė įgyvendinama aukščiau pateiktuose 1 ir 2 skyriuose, kuriuose nurodyta informacija apie duomenų valdytoją, asmens duomenų tvarkymo pagrindus, tikslus, tvarkymo būdą, duomenų gavėjus ir kt.
Informacija apie Įmonės atliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta BDAR 13 ir 14 straipsniuose, kandidatams, darbuotojams, Nuomininkams, paslaugų tiekėjų atstovams pateikiama žodžiu pirmojo susisiekimo ar asmens duomenų gavimo metu, Centro lankytojams raštu – žymomis apie vaizdo stebėjimą, pateikiant informaciją pildomose loterijų anketose, kuponuose, bilietuose ir kt.
Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
– Teisė susipažinti su Įmonės tvarkomais savo asmens duomenimis
Tai yra teisė gauti patvirtinimą, ar su duomenų subjektu susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis: koks yra tvarkymo pagrindas, tikslai, tvarkymo būdas, duomenų gavimo šaltiniai (iš kur gauti duomenys), duomenų gavėjai, jeigu informacija jiems teikiama, ir kitą informaciją, kaip aprašyta BDAR 15 straipsnyje, taip pat apie tvarkomų duomenų kopijavimą.
– Teisė reikalauti ištaisyti duomenis (BDAR 16 straipsnis).
Teisė reikalauti, kad surinkti neišsamūs arba netikslūs duomenys būtų papildyti ar ištaisyti.
Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs Įmonė gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Įmonė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus
– Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“).
Ši teisė galioja, esant vienam iš šių pagrindų:
– asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, dėl kurių šie duomenys buvo renkami ar kitaip tvarkomi;
– duomenų subjektas atšaukia sutikimą, pagal kurį buvo grindžiamas duomenų tvarkymas ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
– asmens duomenys buvo tvarkomi neteisėtai;
– asmens duomenų subjektas nesutinka su duomenų tvarkymu viešojo intereso labui ar vykdant viešosios valdžios funkcijas ar kai duomenis tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu tiesioginės rinkodaros tikslais, įskaitant profiliavimą;
– asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba nacionalinėje teisėje nustatytos teisinės prievolės.
Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Įmonė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
Duomenų subjekto „teisė būti pamirštam“ gali būtų neįgyvendinta BDAR 17 straipsnio 3 dalyje numatytais atvejais:
– turimų asmens duomenų reikia siekiant pasinaudoti teise į saviraiškos laisvę;
– nustatyta teisinė prievolė saugoti tokius duomenis;
– dėl viešojo intereso priežasčių (pvz., visuomenės sveikatos, mokslinio, statistinio ar istorinio tyrimo tikslais).
– Teisė apriboti duomenų tvarkymą.
Ši teisė galioja, esant vienam iš šių pagrindų:
– Duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį Įmonė gali patikrinti asmens duomenų tikslumą;
– asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
– Įmonei nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba
– Duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar Įmonės teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
Duomenų subjekto prašymu apribojus asmens duomenų tvarkymo veiksmus, asmens duomenys turi būti saugomi tol, kol bus ištaisyti ar sunaikinti.
– Teisė į duomenų perkeliamumą.
Duomenų subjektas turi teisę paprašyti, jog jo asmeniniai duomenys būtų
perduodami jiems ar trečiajai šaliai, jeigu tai techniškai įmanoma, standartinio skaitymo ar peržiūros formatu (Word, Excel, XML ir kt.), o Įmonė nesudarys tam kliūčių. Pasinaudoti teise galima tik esant šioms sąlygoms:
– duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi;
duomenų subjektas tuos duomenis perdavė Įmonei;
– duomenys tvarkomi automatizuotomis priemonėmis;
– jeigu pasinaudojimas šia teise nedaro neigiamo poveikio kitų teisėms ir laisvėms.
Duomenų subjektas, kreipdamasis dėl šios teisės, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam asmeniui.
Pagal duomenų subjekto prašymą perkelti duomenys automatiškai nėra ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į Įmonę dėl teisės reikalauti ištrinti duomenis įgyvendinimo.
Teisė į duomenų perkeliamumą netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba Įmonei būtų priskirta vykdyti pavestas viešosios valdžios funkcijas.
Teisė nesutikti su duomenų tvarkymu, kai tvarkymas grindžiamas:
– viešojo intereso vykdymu;
– Įmonės ar trečiosios šalies teisėtais interesais;
– tiesioginės rinkodaros (įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara) tikslais.
Duomenų subjektui išreiškus nesutikimą su jo asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
– Teisė nebūti automatizuotai vertinamam ir profiliuojamam.
Duomenų subjektas turi teisę reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir būtų įsikišta žmogaus bei toks spendimas peržiūrėtas, atliekant visų svarbių dokumentų, įskaitant ir duomenų subjekto pateiktus, vertinimą.
Prašymo dėl duomenų subjektų teisių įgyvendinimo pateikimas
Asmuo, siekdamas įgyvendinti aukščiau nurodytas teises, turi pateikti Įmonei rašytinį prašymą:
– asmeniškai, pateikdamas asmens tapatybę patvirtinantį dokumentą;
– paštu, kartu su prašymu pateikiant notaro patvirtiną asmens tapatybę patvirtinančio dokumento kopiją;
– elektroninių ryšių priemonėmis (pasirašant elektroniniu kvalifikuotu parašu);
– per atstovą (prašyme nurodoma atstovo vardas, pavardė, adresas, kontaktai ryšiui palaikyti, atsakymo gavimo forma, atstovaujamojo vardas, pavardė bei atstovavimą patvirtinantis dokumentas).
Prašymas teikiamas asmeniškai atvykus į Įmonę adresu H. Manto g. 22, Klaipėda arba prašymas teikiamas siunčiant paštu adresu H. Manto g. 22, Klaipėda, arba elektroniniu paštu adresu info@herkausgalerija.lt. Darbuotojas taip pat bet kada gali kreiptis žodžiu su skundu, pasiūlymu, pastabomis, susijusiomis su asmens duomenų apsauga, taip pat su šios Politikos nuostatomis, tiesiogiai į Įmonės direktorę ar telefonu +370 679 77833.
Prašymas turi būti įskaitomas, pasirašytas asmens ar jo atstovo, prašyme turi būti nurodyta: asmens ir/ar atstovo vardas, pavardė, gyvenamoji vieta, duomenys ryšiui palaikyti ir informacija apie tai, kokią(-ias) iš aukščiau nurodytų teisių ir kokia apimtimi pageidaujama įgyvendinti, šios teisės(-ių) pasinaudojimo atvejis, priežastis ar teisinis pagrindas, numatytas BDAR.
Esant abejonių dėl duomenų subjekto tapatybės, Įmonė gali paprašyti papildomos informacijos.
Prašymo dėl duomenų subjektų teisių įgyvendinimo nagrinėjimas
Prašymas išnagrinėjamas ir atsakymas lietuvių kalba duomenų subjektui pateikiamas ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo dienos. Jeigu Įmonė paprašė papildomos informacijos, 30 kalendorinių dienų terminas pradedamas skaičiuoti nuo šios informacijos pateikimo.
Jeigu bus vėluojama pateikti informaciją, duomenų subjektas apie tai informuojamas, nurodant vėlavimo priežastis ir informuojant apie galimybę pateikti skundą VDAI.
Prašymas nenagrinėjamas ir apie tai informuojamas duomenų subjektas, nurodant atsisakymo priežastis, kai:
– prašymas pateiktas nesilaikant 6.3. skirsnyje nurodytos tvarkos;
– prašoma pateikti kito asmens/(-ų) duomenis ir duomenų subjektas nėra atstovas asmens, kurio duomenis prašoma pateikti;
– prašymas akivaizdžiai neproporcingas ir/ar nepagrįstas;
– prašymas gali kelti grėsmę kitų asmenų teisėms ir laisvėms, visuomenės sveikatai ir saugumui, įvairių kategorijų teisminiams procesams;
– atsisakymo pagrindai numatyti BDAR (pvz., 12, 17 straipsniai ir kt.) ar kituose norminiuose teisės aktuose, nustačius juose įtvirtintas atitinkamas sąlygas ir išimtis,
– prašymai susiję su per 6 mėnesius pateiktas pakartotinis prašymas (to paties asmens, dėl tų pačių duomenų, tos pačios apimties, asmens duomenys nėra pasikeitę, pirminis prašymas buvo išnagrinėtas ir tenkintas). Šiuo atveju Įmonė gali pasirinkti prašymo nenagrinėti, arba nagrinėti, bet imti atitinkamą mokestį prašymo vykdymo išlaidų atlyginimui.
Prašymo nagrinėjimo metu nustačius duomenų subjektų teisių apribojimus BDAR 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
Įmonės veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas, jo atstovas, ne pelno organizacija, įstaiga ar asociacija, atitinkanti BDAR 80 straipsnio reikalavimus, turi teisę skųsti VDAI, A. Juozapavičiaus g. 6, Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt, taip pat Klaipėdos miesto apylinkės teismui (Daukanto g. 8, Klaipėda).