„KEMPINGAS SLĖNYJE“, UAB

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

„Kempingas slėnyje“, UAB juridinio asmens kodas 181209770, registruotos buveinės adresas Slėnio g. 1, LT-21121 Trakai (toliau – Įmonė), Asmens duomenų tvarkymo taisyklėse nustatyti pagrindiniai asmens duomenų tvarkymo (rinkimo, naudojimo, saugojimo, atskleidimo, perdavimo, naikinimo) tvarka ir principai. 

SĄVOKOS

  1. ADTAĮ – 1996 m. birželio 11 d. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas Nr. 63-1479, su paskutiniais galiojančios redakcijos pakeitimais;
  2. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu, iš kurios galima tiesiogiai arba netiesiogiai pagal vieną ar kelis asmeniui būdingus fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymius nustatyti jo tapatybę. Asmens duomenimis laikomi asmens identifikaciniai duomenys (pvz., vardas, pavardė, asmens kodas), kontaktiniai duomenys (pvz. gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas), biometriniai duomenys (pirštų antspaudai, akies rainelė) ir kt.
  3. Automatinis duomenų tvarkymas – Asmens duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.
  4. Vadovas – įmonės generalinis direktorius
  5. Darbuotojas – fizinis asmuo, su kuriuo Bendrovė yra sudariusi darbo ar analogiško pobūdžio sutartį, kurios pagrindu Bendrovė tvarko jo duomenis ir asmuo, kuris, vykdydamas savo darbines Bendrovėje funkcijas, turi teisę tvarkyti Asmens duomenis;
  6. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai Bendrovė teikia Asmens duomenis;
  7. Duomenų subjektas – fizinis asmuo, kurio Asmens duomenis tvarko Valdytojas;
  8. DAP – paskirtas Duomenų apsaugos pareigūnas, pasiekiamas privatumas@capitalica.lt;
  9. EEE – valstybė, esanti Europos Ekonominės Erdvės narė;
  10. ES – Europos Sąjunga;
  11. IT direktorius SBA Grupės IT direktorius;
  12. Incidentas – įvykis, dėl kurio kyla tikimybė Asmens duomenų praradimui arba atskleidimui arba atvejai, kai Asmens duomenys yra prarasti ir / ar atskleisti;
  13. IT sistemos – Bendrovės naudojamos informacinių technologijų sistemos, tame tarpe Asmens duomenų tvarkymui naudojamos informacinės sistemos;
  14. Priežiūros institucija – Lietuvos Respublikos Valstybinė duomenų apsaugos inspekcija;
  15. Reglamentas – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
  16. SBA Grupė – kartu arba pavieniui veikiančios SBA įmonių grupės įmonės. Įmonė yra SBA Grupės dalis;
  17. SBA Grupės duomenų keitimosi sutartis– visų SBA Grupei priklausančių įmonių bendra sutartis dėl keitimosi Asmens duomenimis tarpusavyje. Šioje sutartyje numatyti duomenų tvarkymo tikslai, apimtys ir kiekvienos iš įmonių teisinis statusas;
  18. SBA Grupės Informacijos saugumo politika – SBA Grupės įmonėms taikoma informacijos, tame tarpe ir Asmens duomenų apsaugos, techninių ir organizacinių priemonių įgyvendinimą aprašanti politika;
  19. Specialių kategorijų asmens duomenys – Asmens duomenys, atskleidžiantys fizinio asmens rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose; konkretaus fizinio asmens nustatymui naudojami asmens genetiniai, biometriniai, sveikatos duomenys, duomenys apie fizinio asmens lytinį gyvenimą, lytinę orientaciją, taip pat duomenys apie teistumą );
  20. Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto Duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję Asmens duomenys;
  21. Taisyklės – šios Bendrovės Asmens duomenų tvarkymo taisyklės su paskutiniais pakeitimais (jeigu tokie bus padaryti);
  22. Tvarkymas – Bendrovės atliekami arba Bendrovės pasitelktos trečiosios šalies atliekami bet kokie su Asmens duomenimis susiję automatizuotomis arba neautomatizuotomis priemonėmis atliekami veiksmai ar veiksmų seka, įskaitant Asmens duomenų rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, keitimą (pildymą ar taisymą), prieigos suteikimą, užklausų pateikimą, perdavimą, paskelbimą, naudojimą, paiešką, skleidimą ar kitokį veiksmą ar veiksmų rinkinį ir kt.;
  23. Tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Valdytojo vardu tvarko Asmens duomenis;
  24. Valdytojas – juridinis asmuo, kuri vienas ar drauge su kitais subjektais nustato duomenų tvarkymo tikslus ir priemones.

BENDROSIOS NUOSTATOS

    1. Įmonė yra SBA Grupės narė. Tvarkydama Asmens duomenis Įmonė siekia tiek savarankiškų veiklos organizavimo ir vystymo, tiek, kartu su kitomis SBA Grupės įmonėmis, bendrų SBA Grupės tikslų. Kiek tai būtina konkrečių Įmonės ir (ar) SBA Grupės tikslų pasiekimui, Įmonė keičiasi Asmens duomenimis su kitomis SBA Grupei priklausančiomis įmonėmis. Asmens duomenų keitimasis SBA Grupės viduje yra aptariamas SBA Grupės duomenų keitimosi sutartyje. Nebent SBA Grupės duomenų keitimosi sutartyje būtų numatyta kitaip, Įmonė bei kitos SBA Grupei priklausančios įmonės visada veikia kaip nepriklausomi nuo vienas kito Valdytojai.
    2. Asmens duomenų apsaugą Įmonėje organizuoja ir šių Taisyklių vykdymą užtikrina Vadovas, arba jo paskirtas atsakingas Darbuotojas.
    3. Konsultacijas Įmonės darbuotojams dėl Asmens duomenų tvarkymo ir tinkamo Reglamento įgyvendinimo teikia DAP.
    4. Darbuotojui gavus Priežiūros institucijos, policijos, teismo ar bet kurios trečiosios šalies prašymą susijusi su Asmens duomenų tvarkymu (pvz. pateikti Asmens duomenų kopiją, pateikti paaiškinimus dėl jų tvarkymo), šis prašymas turi būti nedelsiant, bet ne vėliau kaip kitą darbo dieną, persiųstas DAP.

ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI

    1. Įmonė tvarko asmens duomenis vadovaudamasi šiais Reglamente nustatytais teisiniais pagrindais:
      1. duomenų subjektas davė sutikimą, kad jo asmens duomenys Įmonėje būtų tvarkomi vienu ar keliais konkrečiais tikslais (Reglamento 6 straipsnio 1 dalies a punktas);
      2. tvarkyti duomenų subjektų asmens duomenis Įmonėje būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį (Reglamento 6 straipsnio 1 dalies b punktas);
      3. tvarkyti asmens duomenis būtina, kad būtų įvykdyta Įmonei taikoma teisinė prievolė (Reglamento 6 straipsnio 1 dalies c punktas);
      4. tvarkyti asmens duomenis būtina, siekiant apsaugoti gyvybinius duomenų subjekto arba kito fizinio asmens interesus (Reglamento 6 straipsnio 1 dalies d punktas);
      5. tvarkyti asmens duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant Įmonei pavestas viešosios valdžios funkcijas (Reglamento 6 straipsnio 1 dalies e punktas);
      6. tvarkyti asmens duomenis būtina siekiant teisėtų Įmonės arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni (Reglamento 6 straipsnio 1 dalies f punktas);

ASMENS DUOMENŲ TVARKYMO TIKSLAI, PAGRINDINĖS KATEGORIJOS IR RŪŠYS

  • Įmonėje asmens duomenys privalo būti tvarkomi tik tiek, kiek tai reikalinga atitinkamiems, aiškiai apibrėžtiems ir teisėtiems tikslams pasiekti, atsižvelgiant į asmens duomenų apsaugos reikalavimus.
  • Įmonėje yra tvarkomos šios pagrindinės asmens duomenų kategorijos ir rūšys:
      1.  Asmens duomenys:
        1. identifikaciniai duomenys (pavyzdžiui, vardas, pavardė, asmens kodas, gimimo data, paso / asmens tapatybės kortelės duomenys, kt.); 
        2. kontaktiniai duomenys (pavyzdžiui, gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas, kt.);
        3. vaizdo stebėjimo ir įrašymo priemonių duomenys (pavyzdžiui vaizdo duomenys, atvaizdo duomenys, transporto priemonės numeris ir kt.);
        4. tiesioginės rinkodaros, naujienlaiškių ir kitos komunikacijos duomenys (pavyzdžiui, vardas, pavardė, el. paštas, sutikimo / informavimo faktas, data, kt.);
        5. informacinių sistemų duomenys (pavyzdžiui, IP adresas, atliktų veiksmų žurnaliniai įrašai (ang. log files), sesijos trukmė, metaduomenys, kt.);
        6. slapukų duomenys (pavyzdžiui, sesijos pradžia, pabaiga, trukmė, unikalus ID kodas, kt.);
        7. komunikacijos korporatyviniuose socialiniuose tinkluose asmens duomenys (pavyzdžiui, vardas, pavardė, nuotrauka, susirašinėjimo duomenys, „sekimo“ (angl., following) duomenys, kada pats darbuotojas arba klientas prisijungė prie paskyros ir kt.);
        8. kandidatavimo metu į Įmonės laisvas darbo pozicijas surinkti duomenys (pavyzdžiui, CV, motyvacinis laiškas, kt.);
        9. įdarbinimo ir darbo metu surinkti duomenys (pavyzdžiui, atostogų datų duomenys, darbo grafiko duomenys, darbo užmokesčio duomenys, kt.);
        10. paslaugų ir sutarčių duomenys;
        11. klientų finansiniai duomenys apmokant už suteiktas paslaugas (pavyzdžiui, banko sąskaitos numeris, kredito/debeto kortelės nr. ir kt.);
        12. kiti asmens duomenys, nenurodyti šiame skyriuje.
      2. Specialiųjų kategorijų asmens duomenys:
        1. duomenys apie sveikatą;
    2. Įmonė savo interneto svetainėje naudoja slapukus (angl., cookies). Slapukas – tai nedidelis tekstinis failas, kurį interneto svetainė įrašo į kompiuterį arba mobilųjį įrenginį, kai lankomasi toje svetainėje. Slapukai plačiai naudojami tam, kad interneto svetainės veiktų efektyviau ir siekiant suteikti naudingos informacijos svetainės savininku.
    3. Slapukai svetainėje yra naudojami, kai asmuo naršydamas svetainėje sutinka su slapukų naudojimu. Asmuo gali bet kada atšaukti sutikimą pakeisdamas savo interneto naršyklės nustatymus, tačiau tokiu atveju tam tikros svetainės funkcijos gali neveikti.
    4. Įmonė, esant poreikiui, turi teisę bet kuriuo metu pradėti naudoti kitų rūšių slapukus.
    5. Atsižvelgiant į tai, kad slapukų sąrašas yra kintamas, informacija apie aktualius naudojamus slapukus yra skelbiama Įmonės interneto svetainėje, tačiau ne šiose Taisyklėse.
    6. Detali informacija apie asmens duomenų kategorijas ir rūšis, kurios yra tvarkomos Įmonėje, yra nurodyta Duomenų tvarkymo veiklos įrašų registre.

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ REGISTRO VEDIMAS

    1. Įmonė veda Duomenų tvarkymo veiklos įrašų registrą, kuriame turi būti pateikiama bei nuolatos atnaujinama toliau išvardinta faktinė informacija apie asmens duomenų tvarkymą:
      1.  asmens duomenų tvarkymo tikslai;
      2.  asmens duomenų teisėto tvarkymo kriterijai; 
      3.  duomenų subjektų kategorijos;
      4.  asmens duomenų kategorijos;
      5.  asmens duomenų saugojimo terminai;
      6.  duomenų tvarkytojai;
      7.  duomenų gavėjų kategorijos;
    2. Duomenų tvarkymo veiklos įrašų registras turi būti nuolat, bet ne rečiau kaip kartą per kalendorinius metus, tikrinamas ir atnaujinamas, kad atitiktų realią asmens duomenų tvarkymo situaciją Įmonėje.
    3. Duomenų tvarkymo veiklos įrašų registras yra tvarkomas raštu. Rašytinei formai yra prilyginama ir elektroninė forma, saugoma Bendrovės kompiuteryje(-iuose).
    4. Įmonė asmens duomenis gali tvarkyti ne ilgiau negu būtina asmens duomenų tvarkymo tikslams pasiekti, kurie yra nurodyti Duomenų tvarkymo veiklos įrašų registre.
    5. Asmens duomenų tvarkymo terminai priklauso nuo konkretaus dokumento ar sutarties tipo bei asmens duomenų tvarkymo pagrindo. Pagrindiniai asmens duomenų saugojimo terminai yra nurodyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje 2011 m. kovo 9 d. Lietuvos vyriausiojo archyvaro įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, taip pat kituose Lietuvos Respublikos teisės aktuose bei Įmonės vidiniuose teisės aktuose ir dokumentuose.
    6. Suėjus asmens duomenų saugojimo terminui, nurodytam Duomenų tvarkymo veiklos įrašų registre, asmens duomenys turi būti sunaikinami tokiu būdu, kad nebūtų galima nustatyti duomenų subjektų asmens tapatybės.
    7. Duomenų tvarkymo veiklos įrašų registro pavyzdinė forma pateikiama šių Taisyklių priede Nr. 1.

KITOS ASMENS DUOMENŲ TVARKYMO SĄLYGOS

    1. Jeigu asmens duomenų tvarkymas vyksta remiantis sutikimu, toks asmens duomenų tvarkymas turi atitikti šias sąlygas:
      1.  Įmonė turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys;
      2.  prašymas duoti sutikimą turi būti pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba;
      3.  duomenų subjektas turi būti informuojamas apie teisę bet kuriuo metu atšaukti savo sutikimą;
      4.  atšaukti sutikimą turi būti taip pat lengva kaip jį duoti;
      5.  sutikime turi būti pateikiama informacija apie duomenų subjektų teises, nurodytas Reglamente;
      6.  sutikime turi būti pateikiama nuoroda į Įmonės Privatumo politiką ir arba/ir šias Taisykles;
    2. Pavyzdinė „Sutikimo dėl asmens duomenų tvarkymo“ forma yra pateikiama šių Taisyklių 2 priede;
    3. Bendrovės darbuotojai, be DAP pritarimo, neturi teisės keisti / koreguoti „Sutikimo dėl asmens duomenų tvarkymo“ formos;
    4. Jeigu asmens duomenų tvarkymas ketinamas vykdyti remiantis teisėto intereso tvarkymo kriterijumi pagal Reglamento 6 straipsnio 1 dalies f punktą, DAP turi įvertinti, ar reikia atlikti:
      1.  poveikio asmens duomenų apsaugai vertinimą;
      2.  teisėto intereso vertinimą (Balanso testą).
    5. Jeigu Įmonėje yra planuojamas naujos arba esamos veiklos / proceso / informacinių technologijų kūrimas, vystymas ar pakeitimas, ir už pokytį atsakingas Įmonės padalinio darbuotojas įvertina, kad toks pokytis gali turėti esminės ir svarbios įtakos asmens duomenų apsaugai ir Reglamento atitikčiai, turi būti kreipiamasi į DAP dėl išvados / įvertinimo gavimo;
    6. Įmonė gali vykdyti tiesioginę rinkodarą arba siųsti kitus komunikacijos pranešimus (pvz., naujienlaiškius), šiais atvejais:
    7. tik gavus išankstinį duomenų subjekto ir/ar kliento sutikimą;
    8. tiesioginė rinkodara vykdoma ir/ar komunikaciniai pranešimai siunčiami esamų ir/ar buvusių klientų kontaktiniais duomenimis (el. pašto adresais ar kontaktiniais tel. nr.), jeigu abonentui yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, ir, jeigu klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną pranešimą.

DUOMENŲ TVARKYTOJŲ PASITELKIMAS

    1. Bendradarbiaudama su kitomis SBA Grupei nepriklausančiomis įmonėmis, Asmens duomenimis Įmonė keičiasi tik pagal raštu įtvirtintas duomenų tvarkymo sutartis arba atitinkamas Asmens duomenų apsaugą reglamentuojančias nuostatas verslo sutartyse ir/ar jų prieduose.
    2. Tokiu atveju įgalioti duomenų tvarkytojai privalo užtikrinti, kad būtų įgyvendintos atitinkamos techninės ir organizacinės asmens duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis;
    3. Esminės sąlygos duomenų tvarkytojams yra nurodytos Įmonės tipinėje Susitarimo dėl asmens duomenų tvarkymo formoje, pasirašomoje tarp Įmonės ir duomenų tvarkytojo;
    4. Įmonė, siekiant įsitikinti, kad pasitelkti duomenų tvarkytojai laikosi Reglamento ir kitų teisės aktų reikalavimų, arba iškilus abejonėms, kad duomenų tvarkytojai galimai tvarko asmens duomenis tik iš dalies atitikdami Reglamento reikalavimus, turi teisę išsiųsti klausimyną duomenų tvarkytojams, kurio pavyzdinė forma yra pateikiama šių Taisyklių 3 priede ir šio klausimyno atsakymo pagrindu, nustatyti ar duomenų tvarkytojas tinkamai laikosi Reglamento reikalavimų.

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ (INCIDENTŲ) VALDYMAS

    1. Asmens duomenų saugumo pažeidimu yra laikomas bet kuris tyčinis ar neatsargus asmens duomenų apsaugos pažeidimas, kai:
      1.  sunaikinami, prarandami arba pakeičiami asmens duomenys;
      2.  be leidimo atskleidžiami asmens duomenys darbuotojams, trečiosioms šalims, neturintiems teisės   tvarkyti asmens duomenų;
      3.  be leidimo gaunama prieiga prie asmens duomenų;
    2. Incidento atveju Darbuotas privalo nedelsiant, bet ne vėliau nei per 8 valandas nuo sužinojimo, informuoti DAP, Vadovą ir/ar IT direktorių.
    3. Detali asmens duomenų saugumo pažeidimų valdymo tvarka nustatoma kitais Įmonės vidaus teisės aktais. 

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

    1. Duomenų subjektas, kurio Asmens duomenys tvarkomi Įmonėje, turi šias teises:
      1.  žinoti (būti informuotas) apie savo Asmens duomenų tvarkymą;
      2.  susipažinti su savo Asmens duomenimis ir kaip jie yra tvarkomi;
      3.  reikalauti ištaisyti, sunaikinti savo Asmens duomenis arba sustabdyti, savo Asmens duomenų tvarkymo veiksmus (išskyrus saugojimą), kai Asmens duomenys tvarkomi nesilaikant teisės aktų reikalavimų ir šių Taisyklių;
      4.  nesutikti, kad jo Asmens duomenys būtų tvarkomi;
      5.  gauti su savimi susijusius Asmens duomenis, kuriuos jis pateikė Įmonei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu (teisė į duomenų perkeliamumą);
      6.  kai Asmens duomenys tvarkomi sutikimo pagrindu, teisę bet kuriuo metu atšaukti savo sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
      7.  pateikti skundą dėl Asmens duomenų tvarkymo Priežiūros institucijai.
    2. Įgyvendindamas Taisyklių 5.1.2 punkte numatytą teisę, duomenų subjektas gali kreiptis į Įmonę ir iš jos gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:
      1.  duomenų tvarkymo tikslai;
      2.  atitinkamų asmens duomenų kategorijos;
      3.  duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;
      4.  teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
      5.  teisė pateikti skundą Priežiūros institucijai;
      6.  kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;
      7.  informacija apie automatizuoto sprendimų priėmimą, įskaitant profiliavimą, dėl kurio duomenų subjektui kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį;
      8.  informacija apie duomenų perdavimą į trečiąją valstybę ar tarptautinę organizaciją.
    3. 5.2. punkte nurodyta informacija duomenų subjektui suteikiama, kai Įmonės darbuotojai nustato duomenų subjekto tapatybę. Įmonė, gavusi duomenų subjekto paklausimą dėl jo duomenų tvarkymo, privalo atsakyti, ar su juo susiję Duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per vieną mėnesį nuo duomenų subjekto kreipimosi dienos. Šis laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Įmonė per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis. Duomenų subjekto prašymu tokie Asmens duomenys turi būti pateikiami raštu. Asmens duomenys duomenų subjektui teikiami neatlygintinai.
    4. Jeigu duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jo Asmens duomenys yra neteisingi, neišsamūs ar netikslūs, jis gali kreiptis į Įmonę, o ši nedelsdama Asmens duomenis patikrina ir duomenų subjekto prašymu ištaiso neteisingus, neišsamius, netikslius Asmens duomenis ir (arba) sustabdo tokių duomenų tvarkymo veiksmus, išskyrus saugojimą.
    5. Jeigu duomenų subjektas, susipažinęs su savo Asmens duomenimis, nustato, kad jie yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į Įmonę, Įmonė nedelsdama neatlygintinai patikrina duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto rašytiniu prašymu sunaikina neteisėtai ir nesąžiningai sukauptus Asmens duomenis ar sustabdo tokių duomenų tvarkymo veiksmus, išskyrus saugojimą.
    6. Sustabdžius duomenų tvarkymo veiksmus, atitinkami duomenys saugomi tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais duomenimis gali būti atliekami tik:
      1.  turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;
      2.  jei duomenų subjektas duoda sutikimą toliau tvarkyti savo duomenis;
      3.  jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus;
      4.  siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
      5.  dėl svarbaus Europos Sąjungos arba valstybės narės viešojo intereso priežasčių.
    7. Įmonė nedelsdama praneša duomenų subjektui apie jo prašymu atliktą ar neatliktą duomenų ištaisymą, sunaikinimą ar duomenų tvarkymo veiksmų sustabdymą. 
    8. Darbuotojui tiesiogiai gavus prašymą dėl Duomenų subjekto teisių įgyvendinimo (pvz. ištrinti Asmens duomenis, gauti kopiją, gauti informaciją apie jų tvarkymą), šis prašymas turi būti nedelsiant, bet ne vėliau kaip kitą darbo dieną  nuo gavimo, persiųstas DAP.

BAIGIAMOSIOS NUOSTATOS

    1. Šios Taisyklės įsigalioja jas patvirtinus Įmonės vadovui;
    2. Darbuotojai su šiomis Taisyklėmis supažindinami pasirašytinai arba elektroniniu būdu leidžiančiu patvirtinti susipažinimo faktą. 
  2. Darbuotojai yra asmeniškai atsakingi už šių Taisyklių laikymąsi, kiek tai susiję su  jų tiesioginėmis pareigomis. 
  3. Netinkamas Taisyklių ar Reglamente nustatytų pareigų laikymasis, jei dėl tokių Darbuotojo veiksmų gali kilti žala Duomenų subjektams, yra laikomas šiurkščiu darbo pareigų pažeidimu ir Darbuotojams už tokias veikas gali grėsti sankcijos, nustatytos Lietuvos Respublikos darbo kodekse.

PRIEDAI

    1. 1 priedas „Duomenų tvarkymo veiklos įrašų registras“;
    2. 2 priedas „Sutikimo dėl asmens duomenų tvarkymo pavyzdinė forma“;
    3. 3 priedas „Klausimyno duomenų tvarkytojams dėl atitikties Bendrajam duomenų apsaugos reglamentui pavyzdinė forma“