UAB „KRISPO“

PRIVATUMO POLITIKA

 Įmonė UAB „Krispo“, į.k. 302441473, registruota adresu  Savanorių pr. 192, LT-44151, Kaunas, administruojanti svetainę www.krispo.lt, pareiškia, kad visa surinkta asmeninė informacija yra griežta konfidenciali ir apdorojama laikantis visų galiojančių teisės aktų nuostatų dėl asmens duomenų apsaugos. 

I. SĄVOKOS

1. UAB „Krispo“  (toliau – Krispo) Privatumo politikoje (toliau – Politika) naudojamos sąvokos:

1.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti;

1.2. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

1.3. Reglamentas – Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. Reglamentas (ES) 2016/679.

1.4. Slapukas – nedidelis tekstinis failas, kurį internetinis puslapis www.krispo.lt išsaugo lankytojo galiniame įrenginyje (kompiuteryje, mobiliajame telefone) tam, kad naudotojo galinis įrenginys būtų atpažintas naudotojui pakartotinai apsilankius internetiniame puslapyje;

1.5. kitos sąvokos kaip jos apibrėžtos Reglamente, Asmens duomenų teisinės apsaugos įstatyme ir kituose LR teisės aktuose, reguliuojančiuose asmens duomenų tvarkymą ir apsaugą.

II. INTERNETINIAME PUSLAPYJE TVARKOMI ASMENS DUOMENYS

2. Krispo internetiniame puslapyje www.krispo.lt Jūsų asmens duomenis tvarko:

2.1. įrašant internetiniame puslapyje www.krispo.lt naudojamus slapukus į Jūsų galinį įrenginį, kurį naudodami apsilankote šiame puslapyje.

III. KRISPO INTERNETINIAME PUSLPAPYJE NAUDOJAMI SLAPUKAI

3. Krispo naudojami internetinio puslapio www.krispo.lt slapukai įrašomi į Jūsų galinį įrenginį pirmą kartą apsilankius šiame puslapyje.

4. Slapukų pagalba Krispo tvarko šiuos Jūsų asmens duomenis:

4.1. Jūsų naudojamos naršyklės tipą;

4.2. Jūsų naršymo istoriją;

4.3. Jūsų galiniam įrenginiui priskirtą internetinio protokolo (IP) adresą;

4.4. apsilankymų internetiniame puslapyje skaičių;

4.5. naršymo Krispo internetiniame puslapyje trukmę;

4.6. peržiūrėtas Krispo internetinio puslapio sekcijas;

4.7. kitą informaciją apie Jūsų atliktus veiksmus Krispo internetiniame puslapyje.

5. Slapukus Krispo naudoja siekdamas:

5.1. užtikrinti internetinio puslapio funkcionalumą;

5.2. tobulinti ir vystyti internetinį puslapį, kad jis atitiktų Jūsų naršymo poreikius;

5.3. diegti internetiniame puslapyje naujas funkcijas, kurios palengvintų naudojimąsi puslapiu, informacijos puslapyje paiešką, taip pat sudarytų galimybes internetiniu puslapiu naudotis platesniam naudotojų ratui;

5.4. užtikrinti parduodamos produkcijos ir teikiamų paslaugų plėtrą;

5.5. analizuoti naudotojų elgseną naršant Krispo internetiniame puslapyje;

5.6. susieti savo internetinį puslapį su administruojamomis socialinio tinklo paskyromis:

5.6.1. https://www.facebook.com/KrispoNamuKvapai/;

5.6.2. https://www.instagram.com/krispohomefragrances/.

5.7. gauti informaciją iš internetinių puslapių reitingavimo portalo [https://www.hey.lt] ir šios informacijos pagrindu fiksuoti lankytojų apsilankymų Krispo internetiniame puslapyje skaičių dienomis bei vesti statistiką;

5.8. naudotis internetinių puslapių reitingavimo portalo [https://www.hey.lt] skaitliuko rodmenimis;

5.9. sekti savo internetinio puslapio parodymus.

6. Krispo internetiniame puslapyje naudojami šių kategorijų slapukai:

6.1. griežtai privalomi slapukai, skirti užtikrinti internetinio puslapio funkcionavimą tam, kad galėtumėte naudotis visomis internetinio puslapio funkcijomis. Šie slapukai renka bendro pobūdžio informaciją apie lankytojų naudojimąsi internetiniu puslapiu;

6.2. analitiniai slapukai, leidžiantys atpažinti ir suskaičiuoti svetainės lankytojų apsilankymų skaičių, stebėti, kokiomis internetinio puslapio sekcijomis lankytojai naudojasi, taip pat renkantys kitą informaciją, susijusią su svetainės naudojimu. Šie slapukai suteikia Krispo informaciją, kuri panaudojama internetinio puslapio tobulinimui ir naujų funkcijų diegimui;

6.3. funkciniai slapukai, padedantys atpažinti ir įsiminti internetiniame puslapyje besilankiusius lankytojus, jų lankytas internetinio puslapio sekcijas, naudotas internetinio puslapio funkcijas, internetiniame puslapyje darytus pakeitimus ir kitus internetiniame puslapyje atliktus pasirinkimus. Pakartotinai lankantis Krispo internetiniame puslapyje jis bus suderintas pagal Jūsų anksčiau atliktus pasirinkimus, išskyrus atvejus, kai Jūs rankiniu būdu pašalinate Krispo internetinio puslapio funkcinius slapukus iš savo interneto naršyklės arba šie slapukai automatiniu būdu yra pašalinami iš jūsų galinio įrenginio pasibaigus slapukų naudojimo laikotarpiui;

6.4. tiksliniai arba reklaminiai socialinių tinklų paskyrų, nurodytų šios Politikos 5.6 punkte, slapukai, skirti pasiūlyti Jūsų poreikius ir naršymo elgseną atitinkančius pasiūlymus šiose paskyrose apie Krispo teikiamas paslaugas.

7. Žemiau pateiktoje lentelėje nurodomi Krispo slapukų naudojimo laikotarpiai:

Slapuko pavadinimas

Naudojimo laikotarpis

Analitiniai slapukai

ganalytics

6 mėnesiai

_ga

2 metai

_gid

1 metai

user_agent

6 mėnesiai

ga_extra_params

24 valandos

Funkciniai slapukai

_gat

24 valandos

TawkConnectionTime

Duomenų nekaupia

PrestaShop-9f1cd4abad06678a1652de0f718f2b

1 mėnesis

_hjIncludedInSample

Duomenų nekaupia

_tawkuuid

6 mėnesiai


Tiksliniai arba reklaminiai slapukai

fr

3 mėnesiai

8. Slapukai Krispo internetiniame puslapyje yra naudojami Jūsų sutikimo pagrindu. Jums apsilankius pagrindiniame Krispo internetiniame puslapyje iššokančiame lange galite sutikti, kad būtų įrašomi visi internetiniame puslapyje naudojami slapukai į Jūsų galinį įrenginį. Jei nenorite duoti sutikimo dėl visų Krispo internetiniame tinklapyje naudojamų slapukų įrašymo, galite eiti į slapukų valdymo parametrus, į kuriuos nuoroda pateikiama tame pačiame iššokančiame lange. Slapukų valdymo parametruose galite pažymėti, su kurių kategorijų slapukų įrašymu sutinkate. Griežtai privalomi slapukai įrašomi į Jūsų galinį įrenginį nepriklausomai nuo to, ar davėte sutikimą, kadangi be šių slapukų funkcionavimo negalėsite naudotis visomis Krispo internetinio puslapio funkcijomis. Jei neduosite sutikimo dėl funkcinių slapukų įrašymo, pakartotinai lankantis Krispo internetiniame puslapyje jis nebus suderintas pagal Jūsų poreikius ir anksčiau puslapyje atliktus pasirinkimus. Jei neduosite sutikimo dėl analitinių slapukų įrašymo, Krispo negalės įvertinti, kokie internetinio puslapio patobulinimai ir kokios papildomos funkcijos yra reikalingos, siekiant pagerinti Jūsų naršymo šiame puslapyje kokybę. Jei neduosite sutikimo dėl tikslinių arba reklaminių slapukų įrašymo, Krispo negalės Jums pateikti Jūsų poreikius ir naršymo elgseną atitinkančių pasiūlymų Krispo socialinio tinklo paskyrose.

IV. PASKYRŲ TVARKYMAS

9. Asmenims sukuriant asmenines paskyras internetiniame puslapyje www.krispo.lt Bendrovė tvarko šiuos asmens duomenis:

9.1. vardą;

9.2. pavardę;

9.3. gimimo datą;

9.4. elektroninio pašto adresą.

10. Asmens duomenys yra tvarkomi siekiant palengvinti asmenų apsipirkimą Bendrovės interneto puslapyje, suteikti galimybę asmenims įsigyti prekių ir paslaugų palankiomis sąlygomis, pritaikyti akcijas ir nuolaidas, išlaikymti esamus pirkėjus bei pritraukti naujų pirkėjų bei išlaikyti su jais ilgalaikius santykius, gerinti Bendrovės teikiamų paslaugų kokybę.

11. Asmens duomenys yra tvarkomi sutikimo pagrindu (Reglamento 6 straipsnio 1 dalies a punktas), t. y. asmeniui užpildant paraišką dėl asmeninės paskyros sukūrimo ir duodant sutikimą dėl asmens duomenų tvarkymo.

12. Bendrovė, reikalaudama paraiškoje dėl asmeninės paskyros sukūrimo nurodyti gimimo datą, užtikrina, kad paskyros nesusikurtų jaunesni nei 14 (keturiolikos) metų amžiaus asmenys, išskyrus jei yra pateikiamas tokių asmenų tėvų sutikimas.

13. Asmens duomenys be asmenų sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais pirkėjų duomenys gali būti perduodami tik gavus asmenų rašytinį sutikimą.

14. Bendrovė asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

15. Asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

16. Asmens duomenys ištrinami asmeniui atšaukus sutikimą tvarkyti asmens duomenis, tačiau ne ilgiau kaip 10 (dešimt) metų nuo asmens duomenų įgijimo dienos.

V. ASMENS DUOMENŲ PERDAVIMAS

17. Krispo internetiniame puslapyje www.krispo.lt tvarkomi Jūsų asmens duomenys nėra perduodami tretiesiems asmenims, išskyrus atvejus, kai perduoti Jūsų asmens duomenis Krispo turi teisinę prievolę vadovaujantis Lietuvos Respublikos teisės aktais.

VI. INTERNETINIO PUSLAPIO LANKYTOJŲ TEISĖS

18. Sutikdami su internetinio puslapio www.krispo.lt slapukų įrašymu į Jūsų galinį įrenginį, Jūs įgyjate šias teises:

18.1. teisę susipažinti su Jūsų tvarkomais asmens duomenimis;

18.2. teisę reikalauti ištaisyti, papildyti ar ištrinti Jūsų tvarkomus asmens duomenis;

18.3. teisę apriboti Jūsų asmens duomenų tvarkymą;

18.4. teisę gauti su Jumis susijusius asmens duomenis, kuriuos Jūs pateikėte Krispo, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti šiuos duomenis kitam duomenų valdytojui;

18.5. teisę nesutikti su Jūsų asmens duomenų tvarkymu.

19. Jūsų teisių įgyvendinimo sąlygas, apribojimus ir tvarką nustato Krispo Duomenų subjektų teisių įgyvendinimo tvarkos aprašas, su kuriuo galite susipažinti internetiniame puslapyje www.krispo.lt.

20. Manydami, kad Krispo internetiniame puslapyje vykdomas Jūsų asmens duomenų tvarkymas neatitinka Reglamento, Asmens duomenų teisinės apsaugos įstatymo ar kitų LR įstatymų ir teisės aktų, reguliuojančių asmens duomenų tvarkymą, reikalavimų ar kitaip pažeidžia Jūsų teises ir laisves, galite kreiptis į Valstybinę duomenų apsaugos inspekciją įstatymų nustatyta tvarka.

PATVIRTINTA

UAB „Krispo“ direktoriaus

2018 m. rugsėjo 19 d. įsakymu Nr. 20180919

UAB „KRISPO“

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

III. SĄVOKOS

1. Pagrindinės Asmens duomenų tvarkymo taisyklėse (toliau – Taisyklės) naudojamos sąvokos:

1.1. ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.

1.2. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti;

1.3. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita Bendrovė, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;

1.4. Duomenų subjektas – fizinisasmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

1.5. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

1.6. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita Bendrovė, kuri duomenų valdytojo vardu tvarko asmens duomenis;

1.7. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita Bendrovė, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones

1.8. Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

1.9. Reglamentas –Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. Reglamentas (ES) 2016/679.

1.10. Subtvarkytojas – duomenų tvarkytojo pasitelktas kitas išorinis duomenų tvarkytojas, kuris, vykdydamas jam patikėtas paslaugų teikimo funkcijas, tvarkys asmens duomenis duomenų valdytojo vardu;

1.11. Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

1.12. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų;

1.13. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant automatines vaizdo stebėjimo priemones (vaizdo ir fotokameras ar pan.), nepaisant to, ar šie duomenys yra išsaugomi laikmenoje.

1.14. VDAI – Valstybinė duomenų apsaugos inspekcija;

1.15. kitos sąvokos kaip jos apibrėžtos Reglamente, ADTAĮ ir kituose teisės aktuose, reguliuojančiuose asmens duomenų tvarkymą ir apsaugą.

IV. BENDROSIOS NUOSTATOS

2. UAB „Krispo“ (toliau – Bendrovė) Taisyklės nustato fizinių asmenų asmens duomenų tvarkymo tikslus, pagrindus, duomenų subjektų kategorijas, asmens duomenų kategorijas, asmens duomenų perdavimo tretiesiems asmenims sąlygas, asmens duomenų saugojimo terminus, asmens duomenų sunaikinimo sąlygas, apribojimus ir tvarką, duomenų subjektų teises, organizacines ir technines asmens duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojų pasitelkimo tvarką ir Bendrovės santykį su duomenų tvarkytojais, duomenų tvarkymo veiklos įrašų turinį ir rengimo tvarką, darbuotojų, tvarkančių asmens duomenis, atsakomybę.

3. Taisyklių tikslas – užtikrinti tinkamą asmens duomenų tvarkymą ir apsaugą, fizinių asmenų privataus gyvenimo neliečiamumo teisę, apsaugoti fizinių asmenų pagrindines teises ir laisves, susijusias su jų asmens duomenų tvarkymu.

4. Taisyklės taikomos tvarkant asmens duomenis automatiniu ir neautomatiniu būdu.

5. Taisyklių reikalavimai privalomi visiems Bendrovės darbuotojams, kurie tvarko Bendrovėsasmens duomenis arba eidami savo pareigas juos sužino.

III. ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

6. Bendrovė tvarkydama asmens duomenis vadovaujasi Reglamente įtvirtintais, su asmens duomenų tvarkymu susijusiais principais:

6.1. teisingumo ir sąžiningumo principu – asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtu ir sąžiningu būdu;

6.2. skaidrumo principu – informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba;

6.3. tikslo apribojimo principu – asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;

6.4. duomenų kiekio mažinimo principu – asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

6.5. tikslumo principu – asmens duomenys turi būti tikslūs ir prireikus atnaujinami;

6.6. saugojimo trukmės apribojimo principu – asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

6.7. vientisumo ir konfidencialumo principu – asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

6.8. atskaitomybės principu – Bendrovė yra atsakinga už tai, kad būtų užtikrintas tinkamas asmens duomenų saugumas, asmens duomenys būtų tvarkomi teisėtai, būtų užtikrinamos duomenų subjektų teisės.

IV. BENDROVĖS FUNKCIJOS, TEISĖS IR PAREIGOS

7. Bendrovė atlieka šias funkcijas:

7.1. parduodama prekes ir paslaugas užtikrina tinkamą klientų (fizinių asmenų) asmens duomenų tvarkymą ir apsaugą;

7.2. glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba pateikia informaciją duomenų subjektams apie vykdomą jų asmens duomenų tvarkymą nuo duomenų subjektų asmens duomenų gavimo momento;

7.3. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

7.4. teikia metodinę pagalbą darbuotojams asmens duomenų tvarkymo tikslais;

7.5. organizuoja darbuotojų mokymus asmens duomenų tvarkymo ir apsaugos klausimais;

7.6. užtikrina duomenų subjektų tinkamą teisių įgyvendinimą;

7.7. diegia organizacines ir technines asmens duomenų apsaugos priemones, kurios atitinka saugotinų asmens duomenų pobūdį, tvarkomų asmens duomenų apimtį ir šių duomenų tvarkymo riziką;

7.8. vykdo kitas funkcijas, reikalingas Bendrovės teisėms ir pareigoms asmens duomenų tvarkymo ir apsaugos srityje įgyvendinti.

8. Bendrovė turi atitinkamas teises:

8.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą ir apsaugą;

8.2. pavesti duomenų tvarkytojams tvarkyti susitarime dėl asmens duomenų tvarkymo numatytus asmens duomenis;

8.3. kitas Reglamente, kituose Lietuvos Respublikos teisės aktuose įtvirtintas teises.

9. Bendrovė turi atitinkamas pareigas:

9.1. užtikrinti, kad būtų laikomasi šių Taisyklių, Reglamento, ADTAĮ ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimų;

9.2. tinkamai įgyvendinti duomenų subjekto teises laikydamasi Reglamente įtvirtintų reikalavimų;

9.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;

9.4. tvarkyti duomenų tvarkymo veiklos įrašus;

9.5. praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie tai pranešti Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas nekelia pavojaus fizinių asmenų teisėms ir laisvėms;

9.6. nepagrįstai nedelsdamas pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelė rizika duomenų subjekto teisėms ir laisvėms;

9.7. užtikrinti, kad asmens duomenys būtu saugomi Taisyklėse nustatytais terminais, ne ilgiau nei to reikia Taisyklėse numatytiems tikslams pasiekti;

9.8. pasitelkti asmens duomenų tvarkymui tik tuos duomenų tvarkytojus, kurie garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones;

9.9. saugoti, neatskleisti, neperduoti tvarkomų asmens duomenų ir nesudaryti sąlygų jokiomis priemonėmis su jais susipažinti nei vienam asmeniui, kuris nėra įgaliotas tvarkyti šių asmens duomenų, ir kuriam nėra suteikta prie šių duomenų prieiga, tiek Bendrovėje, tiek už jos ribų;

9.10. kitas Reglamente, ADTAĮ ir kituose Lietuvos Respublikos teisės aktuose numatytas pareigas.

V. KANDIDATŲ Į LAISVAS DARBO VIETAS PAIEŠKA, ATRANKA IR ĮDARBINIMAS

10. Bendrovė kandidatų į laisvas darbo vietas paieškos, atrankos ir įdarbinimo tikslais tvarko šiuos kandidatų asmens duomenis:

10.1. vardas;

10.2. pavardė;

10.3. telefono numeris;

10.4. el. pašto adresas;

10.5. CV (gyvenimo aprašyme) esantys asmens duomenys:

10.5.1. išsilavinimas;

10.5.2. darbo patirtis;

10.5.3. kvalifikacija;

10.5.4. kita informacija apie kandidatą į laisvą darbo vietą.

11. Kandidatų į laisvas darbo vietas asmens duomenys yra tvarkomi siekiant imtis veiksmų kandidato į laisvą darbo vietą prašymu prieš sudarant sutartį (Reglamento 6 straipsnio 1 dalies b punktas), t. y. patikrinti kandidato į laisvą darbo vietą tinkamumą darbo sutarties sudarymui.

12. Kiekvienas kandidatas į laisvą darbo vietą Bendrovėje yra informuojamas, kad Bendrovė vertindama jo turimos kvalifikacijos, darbo patirties, kitų gebėjimų atitiktį Bendrovės keliamiems reikalavimams į laisvą darbo vietą, taip pat kviesdama kandidatą į darbo pokalbį ar kitais būdais vykdydama kandidato atranką į laisvą darbo vietą tvarkys jo asmens duomenis.

13. Kandidato į laisvą darbo vietą asmens duomenys kitoms įmonėms ir įstaigoms perduodami tik turint kandidato rašytinį sutikimą.

14. Bendrovė kandidatų į laisvas darbo vietas asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

15. Kandidatų į laisvas darbo vietas asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie kandidatų į laisvas darbo vietas asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

16. Kandidato į laisvą darbo vietą asmens duomenys tvarkomi iki darbo sutarties pasirašymo arba kandidatūros atmetimo. Per 10 (dešimt) darbo dienų nuo kandidatūros atmetimo kandidato į laisvą darbo vietą asmens duomenys yra ištrinami iš kompiuterių, vidinės Bendrovės duomenų bazės, sunaikinamos CV (gyvenimo aprašymo) kopijos ir kiti dokumentai, kuriuose yra nurodyti kandidatų į laisvas darbo vietas asmens duomenys.

VI. VIDAUS ADMINISTRAVIMAS

17. Bendrovė vidaus administravimo tikslais tvarko šiuos darbuotojų duomenis:

17.1. vardą;

17.2. pavardę;

17.3. nuolatinės gyvenamosios vietos adresą;

17.4. telefono numerį;

17.5. gimimo datą;

17.6. asmens kodą;

17.7. asmens tapatybės kortelės/paso duomenis;

17.8. atsiskaitomosios banko sąskaitos numerį;

17.9. elektroninio pašto adresą;

17.10. CV ir veiklos aprašyme esančius asmens duomenis;

17.11. socialinio draudimo numerį;

17.12. sveikatos tikrinimo knygelės duomenis ir kitus duomenis, susijusius su darbuotojo sveikata;

17.13. informaciją apie:

17.13.1. darbo stažą;

17.13.2. išsilavinimą;

17.13.3. kvalifikaciją;

17.13.4. darbo patirtį;

17.13.5. darbo įgūdžius.

17.14. pareigybę;

17.15. parašą;

17.16. darbo užmokesčio dydį;

17.17. išeitines išmokas, kompensacijas;

17.18. pašalpas;

17.19. informaciją apie darbo laiką;

17.20. informaciją apie darbuotojo paskatinimus ir darbo pareigų pažeidimus;

17.21. informaciją apie darbuotojo veiklos vertinimą;

17.22. duomenis apie darbuotojo atostogas;

17.23. informaciją apie šeiminę padėtį;

17.24. informaciją apie darbingumo lygį;

17.25. informaciją apie neįgalumą;

17.26. automobilinio valstybinis registracijos numerį.

18. Bendrovė vidaus administravimo tikslais tvarko šiuos akcininkų, jų atstovų asmens duomenis:

18.1. vardą;

18.2. pavardę;

18.3. telefono numerį;

18.4. elektroninio pašto adresą;

18.5. parašą.

19. Bendrovė informaciją apie darbuotojų šeiminę padėtį, darbingumo lygį, neįgalumą, kitus sveikatos duomenis tvarko tik tais atvejais, kai siekia užtikrinti darbo santykius ir socialinius santykius reglamentuojančių Lietuvos Respublikos įstatymų ir teisės aktų teikiamas garantijas darbuotojams. Bendrovės nustatytas tikslas darbuotojų specialiųjų kategorijų asmens duomenų tvarkymui atitinka Reglamento 9 straipsnio 2 dalies b punkte numatytą sąlygą, leidžiančią tvarkyti specialiosios kategorijos asmens duomenis, kai tai būtina tam, kad duomenų valdytojas galėtų įvykdyti prievoles, o duomenų subjektas naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Sąjungos arba valstybės narės teisėje, taip pat Reglamento 9 straipsnio 2 dalies h punkte numatytą sąlygą, leidžiančią tvarkyti specialiosios kategorijos asmens duomenis darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą.

20. Bendrovės vidaus administravimas susideda iš Bendrovės struktūros tvarkymo, dokumentų, personalo, kapitalo, turimų materialinių ir finansinių išteklių valdymo, raštvedybos tvarkymo, Bendrovės finansinės atskaitomybės, visuotinių akcininkų susirinkimų šaukimo, registravimo, priimtų sprendimų vykdymo.

21. Darbuotojų asmens duomenys yra tvarkomi darbo sutarčių, sudarytų su darbuotojais, sąlygų vykdymo pagrindu (Reglamento 6 straipsnio 1 dalies b punktas), taip pat Bendrovės teisinių prievolių, kylančių iš darbo santykius ir socialinius santykius reglamentuojančių Lietuvos Respublikos įstatymų ir teisės aktų, vykdymo pagrindu (Reglamento 6 straipsnio 1 dalies c punktas).

22. Akcininkų, jų atstovų asmens duomenys tvarkomi Bendrovės teisinių prievolių, kylančių iš Bendrovės steigimo sutarties, Lietuvos Respublikos akcinių bendrovių įstatymo reikalavimų, vykdymo pagrindu (Reglamento 6 straipsnio 1 dalies c punktas).

23. Bendrovė darbuotojų asmens duomenis perduoda Valstybinei mokesčių inspekcijai prie Finansų ministerijos, Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos, Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos, VĮ „Registrų centras“, Lietuvos darbo biržai prie Socialinės apsaugos ir darbo ministerijos, Neįgalumo ir darbingumo nustatymo tarnybai prie Socialinės apsaugos ir darbo ministerijos ir kitoms valstybės ir savivaldybių institucijoms ir įstaigoms vykdydama Lietuvos Respublikos įstatymuose ir teisės aktuose nustatytas teisines prievoles. Perduodami tik tie darbuotojų asmens duomenys, kuriuos tvarko Bendrovė ir kuriuos įpareigoja perduoti valstybės ir savivaldybių institucijos ir Bendrovės. Kitoms bendrovėms ir įstaigoms, kurioms perduoti darbuotojų asmens duomenų teisės aktai neįpareigoja ir asmens duomenų perdavimas nėra būtinas užtikrinti veiklos tęstinumui, darbuotojų duomenys gali būti perduodami tik gavus jų rašytinį sutikimą.

24. Bendrovė akcininkų, jų atstovų asmens duomenis perduoda Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms vykdydama Lietuvos Respublikos įstatymuose ir teisės aktuose nustatytas teisines prievoles. Kitoms valstybės ir savivaldybių institucijoms, įstaigoms ar įmonėms, kurioms perduoti akcininkų, jų atstovų asmens duomenų Bendrovė teisinės prievolės neturi, šių asmens duomenų perdavimas gali būti vykdomas tik gavus atitinkamų Bendrovės akcininkų, jų atstovų sutikimus.

25. Bendrovė darbuotojų ir akcininkų, jų atstovų asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

26. Darbuotojų ir akcininkų, jų atstovų asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių darbuotojų ir akcininkų, jų atstovų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

27. Darbuotojo asmens duomenys tvarkomi, išskyrus saugojimą, iki darbo santykių pabaigos. Nutrūkus darbo santykiams su darbuotoju, jo asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais.

28. Akcininkų, jų atstovų asmens duomenys tvarkomi, išskyrus saugojimą, kol akcininkai, jų atstovai dalyvauja visuotiniame akcininkų susirinkime ir įgyvendina kitas akcininkų pareigas ir teises, nustatytas steigimo sutartyje ir Lietuvos Respublikos akcinių bendrovių įstatyme, Bendrovės atžvilgiu. Akcininko atstovui nebeatstovaujant akcininko santykyje su Bendrovė, jo asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklės ir Bendrovės nustatytais terminais

29. Darbuotojų, akcininkų, jų atstovų asmens duomenys ištrinami iš visų kompiuterių, išorinių laikmenų, vidinės ir išorinės duomenų bazių, sunaikinamos sutartys, registracijos žurnalai, darbo laiko apskaitos žiniaraščiai, protokolai, sprendimai ir kiti dokumentai, kuriuose yra saugomi darbuotojų, akcininkų, jų atstovų asmens duomenys, pasibaigus Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytiems dokumentų, kuriuose yra pateikiami darbuotojų, akcininkų, jų atstovų asmens duomenys, saugojimo terminams.

VII. TIEKĖJŲ BENDROVĖI TIEKIAMAS INVENTORIUS IR KITOS PREKĖS

17. Bendrovės tiekėjų tiekiamo inventoriaus ir kitų prekių Bendrovėi tikslais tvarko šiuos tiekėjų atstovų asmens duomenis:

17.1. vardą;

17.2. pavarde;

17.3. parašą;

17.4. telefono numerį;

17.5. elektroninio pašto adresą.

18. Tiekėjų atstovų asmens duomenys yra tvarkomi pirkimo-pardavimo sutarčių vykdymo pagrindu (Reglamento 6 straipsnio 1 dalies b punktas), t. y. Bendrovei sudarant pirkimo-pardavimo sutartis Lietuvos Respublikos civilinio kodekso ir kitų LR teisės aktų, nustatančių reikalavimus pirkimo-pardavimo sutarčių sudarymui, nustatyta tvarka ir vykdant savo įsipareigojimus ir įgyvendinant savo teises, nustatytas pirkimo-pardavimo sutartyse.

19. Tiekėjų atstovų asmens duomenys be tiekėjų atstovų sutikimo gali būti perduodami tik Bendrovėi vykdant teisinę prievolę atskleisti atitinkamo tiekėjo atstovo asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais tiekėjų atstovų asmens duomenys gali būti perduodami tik gavus jų rašytinį sutikimą.

20. Bendrovė tiekėjų atstovų asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

21. Tiekėjų atstovų asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių tiekėjų atstovų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

22. Tiekėjų atstovų asmens duomenys, išskyrus saugojimą, yra tvarkomi kol pasibaigia pirkimo-pardavimo sutartis ir yra įvykdomi visi tiekėjo ir Bendrovės tarpusavio įsipareigojimai.

23. Pasibaigus su tiekėjais sudarytoms pirkimo-pardavimo sutartims, tiekėjų atstovų asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais bei ištrinami iš visų kompiuterių, išorinių laikmenų, vidinės ir išorinės duomenų bazių, sunaikinamos sutartys, sąskaitos ir kiti dokumentai, kuriuose yra saugomi tiekėjų atstovų asmens duomenys, šiems terminams pasibaigus.

VIII. TIESIOGINĖ RINKODARA

37. Bendrovė tiesioginės rinkodaros tikslais tvarko šiuos duomenų subjektų asmens duomenis:

37.1. vardą;

37.2. pavardę;

37.3. telefono numerį;

37.4. adresą;

37.5. gimimo datą;

37.6. miestą;

37.7. elektroninio pašto adresą.

38. Bendrovė vykdo tiesioginę rinkodarą siųsdama naujienlaiškius juos prenumeruojantiems asmenims, teikdama duomenų subjektams kitą informaciją apie siūlomas prekes, paslaugas, akcijas, naujienas, renginius, rengdama apklausas dėl parduotų prekių, suteiktų paslaugų kokybės ir asortimento.

39. Duomenų subjektų asmens duomenys siekiant šiame skyriuje nustatytų tikslų yra tvarkomi duomenų subjekto sutikimo pagrindu (Reglamento 6 straipsnio 1 dalies a punktas).

40. Duomenų subjekto asmens duomenys, tvarkomi tiesioginės rinkodaros tikslu, be duomenų subjekto sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo duomenų subjekto asmens duomenis valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais duomenų subjekto asmens duomenys gali būti perduodami tik gavus jo rašytinį sutikimą.

41. Bendrovė duomenų subjektų asmens duomenis, tvarkomus tiesioginės rinkodaros tikslu, susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams be išankstinio duomenų subjektų sutikimo.

42. Duomenų subjektų asmens duomenis tiesioginės rinkodaros tikslu tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių duomenų subjektų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

43. Duomenų subjektų asmens duomenys tiesioginės rinkodaros tikslu yra tvarkomi kol duomenų subjektas atšaukia duotą sutikimą, tačiau ne ilgiau nei 10 (dešimt) metų nuo asmens duomenų įgijimo dienos. Duomenų subjektui atšaukus sutikimą jo asmens duomenys yra ištrinami iš visų kompiuterių, serverių, išorinių duomenų bazių ir laikmenų.

IX. VAIZDO STEBĖJIMAS IR VAIZDO DUOMENŲ TVARKYMAS

44. Vaizdo stebėjimas ir vaizdo duomenų tvarkymas vykdomas Bendrovės ir trečiųjų asmenų teisėtų interesų pagrindu, siekiant užtikrinti darbuotojų ir trečiųjų asmenų saugumą, Bendrovės turto apsaugą, darbo organizavimo tvarką, patekimo į Bendrovės teritoriją ir patalpas kontrolę. Kitos priemonės, pavyzdžiui, papildomi mechaniniai užraktai, nėra pakankami siekiant įgyvendinti aukščiau nurodytus tikslus.

45. Kiekvienas lankytojas ir darbuotojas žino, kad yra stebimas vaizdo kameromis, kadangi yra informuojamas apie Bendrovės teritorijoje ir patalpose vykdomą vaizdo stebėjimą informacinėmis nuorodomis. Informacinėse nuorodose pateikiama ši informacija:

45.1. bendroji informacija apie Bendrovę ir jos atstovo kontaktiniai duomenys;

45.2. tikslai, kurių Bendrovė siekia, vykdydama vaizdo stebėjimą;

45.3. teisėtas interesas, kurio pagrindu Bendrovė vykdo teritorijos vaizdo stebėjimą;

45.4. atitinkamų asmens duomenų kategorijos;

45.5. vaizdo duomenų saugojimo laikotarpis, apibrėžiamas konkrečiu terminu arba kitais kriterijais;

45.6. filmuojamų asmenų teisės;

45.7. teisė pateikti skundą Valstybinei duomenų apsaugos inspekcijai;

45.8. renkamų vaizdo duomenų šaltinis – Bendrovės teritorijoje filmuojančios vaizdo kameros.

46. Vaizdo stebėjimas vykdomas šioje Bendrovės teritorijoje:

46.1. prekybos, gamybos patalpas, sandėlius adresu Savanorių pr. 192, Kaunas;

46.2. pardavimų salonus adresu Švitrigailos g. 16, Vilnius ir Saloniškių g. 9, Vilnius.

47. Vaizdo duomenys be rašytinio duomenų subjekto sutikimo gali būti perduodami teisėsaugos institucijoms, prokuratūrai ar teismui kaip įrodymai civiliniame, administraciniame ar baudžiamajame procese, taip pat kitoms įstaigoms ar institucijoms įstatymų nustatyta tvarka.

48. Vaizdo duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali tvarkyti Bendrovės duomenų tvarkytojai.

49. Vaizdo duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie vaizdo duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti. Direktoriaus įgalioti darbuotojai yra atsakingi už vaizdo stebėjimo sistemos techninę priežiūrą ir vaizdo duomenų tvarkymą.

50. Vaizdo duomenys įrašymo įrenginiuose yra saugomi 14 kalendorinių dienų. Praėjus nurodytam laikotarpiui vaizdo duomenys automatiniu būdu yra ištrinami.

51. Vaizdo įrašymo įrenginys leidžia atlikti vaizdo įrašų paiešką pagal datą ir laiką.

52. Jei vaizdo duomenys yra įrašomi į išorines laikmenas, šios laikmenos yra laikomos rakinamuose tūriuose. Išorinės laikmenas su įrašytais vaizdo duomenimis, kurios reikalingos kaip įrodymai, laikomos užklijuotuose vokuose.

53. Perduodamos vaizdo įrašų kopijos yra registruojamos kartu su lydraščiu (raštu).

54. Vaizdo duomenys, esantys išorinėse laikmenose, saugomi 14 kalendorinių dienų, nebent ilgesnis asmens duomenų saugojimo terminas yra būtinas siekiant apsaugoti Bendrovės, jos darbuotojų ar klientų ar kitų fizinių asmenų interesus civiliniuose, administraciniuose ir baudžiamuosiuose procesuose.

V. PREKIŲ PARDAVIMAS INTERNETU

17. Prekių pardavimo internetu tikslais Bendrovė tvarko šiuos pirkėjų asmens duomenis:

17.1. vardą;

17.2. pavarde;

17.3. adresą;

17.4. telefono numerį;

17.5. miestą;

17.6. gimimo datą;

17.7. elektroninio pašto adresą;

17.8. atsiskaitomosios sąskaitos numerį;

17.9. kreditinės kortelės duomenis;

17.10. kredito įstaigos rekvizitus;

17.11. Paysera paskyros informacija;

17.12. Paypal paskyros informacija.

18. Pirkėjų asmens duomenys yra tvarkomi pirkimo-pardavimo sutarčių vykdymo pagrindu (Reglamento 6 straipsnio 1 dalies b punktas), t. y. Bendrovei sudarant pirkimo-pardavimo sutartis Lietuvos Respublikos civilinio kodekso ir kitų LR teisės aktų, nustatančių reikalavimus pirkimo-pardavimo sutarčių sudarymui, nustatyta tvarka ir vykdant savo įsipareigojimus ir įgyvendinant savo teises, nustatytas pirkimo-pardavimo sutartyse.

19. Pirkėjų asmens duomenys be pirkėjų sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo pirkėjo asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais pirkėjų asmens duomenys gali būti perduodami tik gavus jų rašytinį sutikimą.

20. Bendrovė pirkėjų asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

21. Pirkėjų asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių Pirkėjų asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

22. Pirkėjų asmens duomenys, išskyrus saugojimą, yra tvarkomi kol pasibaigia pirkimo-pardavimo sutartis ir yra įvykdomi visi pirkėjų ir Bendrovės tarpusavio įsipareigojimai.

23. Pasibaigus su pirkėjais sudarytoms pirkimo-pardavimo sutartims, pirkėjų asmens duomenys toliau saugomi Bendrųjų dokumentų saugojimo terminų rodyklėje ir Bendrovėje nustatytais terminais bei ištrinami iš visų kompiuterių, išorinių laikmenų, vidinės ir išorinės duomenų bazių, sunaikinamos sutartys, sąskaitos ir kiti dokumentai, kuriuose yra saugomi pirkėjų asmens duomenys, šiems terminams pasibaigus.

VI. PASKYRŲ TVARKYMAS

24. Asmenims sukuriant asmenines paskyras internetiniame puslapyje www.krispo.lt. Bendrovė tvarko šiuos asmens duomenis:

24.1. vardą;

24.2. pavardę;

24.3. gimimo datą;

24.4. elektroninio pašto adresą.

25. Asmens duomenys yra tvarkomi siekiant palengvinti asmenų apsipirkimą Bendrovės interneto puslapyje, suteikti galimybę asmenims įsigyti prekių ir paslaugų palankiomis sąlygomis, pritaikyti akcijas ir nuolaidas, išlaikymti esamus pirkėjus bei pritraukti naujų pirkėjų bei išlaikyti su jais ilgalaikius santykius, gerinti Bendrovės teikiamų paslaugų kokybę.

26. Asmens duomenys yra tvarkomi sutikimo pagrindu (Reglamento 6 straipsnio 1 dalies a punktas), t. y. asmeniui užpildant paraišką dėl asmeninės paskyros sukūrimo ir duodant sutikimą dėl asmens duomenų tvarkymo.

27. Bendrovė, reikalaudama paraiškoje dėl asmeninės paskyros sukūrimo nurodyti gimimo datą, užtikrina, kad paskyros nesusikurtų jaunesni nei 14 (keturiolikos) metų amžiaus asmenys, išskyrus jei yra pateikiamas tokių asmenų tėvų sutikimas.

28. Asmens duomenys be asmenų sutikimo gali būti perduodami tik Bendrovei vykdant teisinę prievolę atskleisti atitinkamo asmens duomenis Valstybinei mokesčių inspekcijai prie Finansų ministerijos, VĮ „Registrų centras“, kitoms valstybės ir savivaldybių institucijoms ir įstaigoms įstatymų nustatyta tvarka. Kitais atvejais pirkėjų duomenys gali būti perduodami tik gavus asmenų rašytinį sutikimą.

29. Bendrovė asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams.

30. Asmens duomenis tvarko Bendrovės direktoriaus įgalioti darbuotojai. Prie konkrečių asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

31. Asmens duomenys ištrinami asmeniui atšaukus sutikimą tvarkyti asmens duomenis, tačiau ne ilgiau kaip 10 (dešimt) metų nuo asmens duomenų įgijimo dienos.

XII. VIETOS NUSTATYMAS

70. Įstaiga automobiliuose naudoja vietos nustatymo įrangą (GPS).

71. Automobiliuose naudojama vietos nustatymo įranga (GPS) ir vietos nustatymo duomenų tvarkymas vykdomas Įstaigos teisėto intereso pagrindu siekiant nustatyti kuro sąnaudas darbuotojams naudojantis Įstaigos automobiliais su vietos nustatymo įranga (GPS) darbo tikslais, taip pat užtikrinti darbo organizavimo tvarką, kad darbuotojai darbo metu automobilius naudotų darbo funkcijų vykdymui (Reglamento 6 straipsnio 1 dalies f punktas). Kiekvienas darbuotojas, naudojantis Įstaigos automobilius su vietos nustatymo įranga (GPS), yra informuojamas, kad šios įrangos pagalba Įstaiga gali nustatyti jo buvimo vietą.

72. Vietos nustatymo duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali tvarkyti Įstaigos duomenų tvarkytojai.

73. Vietos nustatymo duomenys yra tvarkomi ir saugomi Įstaigos duomenų tvarkytojo serveryje 1 metus nuo vietos nustatymo duomenų užfiksavimo vietos nustatymo įranga (GPS). Praėjus nurodytam terminui vietos nustatymo duomenys automatiniu būdu yra pašalinami.

XIII. LOJALUMO PROGRAMOS VYKDYMAS

74. Vykdydama lojalumo programą Bendrovė tvarko šiuos lojalumo programos dalyvių asmens duomenis:

74.1. vardą;

74.2. pavardę;

74.3. gimimo datą;

74.4. telefono numerį;

74.5. elektroninio pašto adresą;

74.6. miestą.

75. Lojalumo programos dalyvių asmens duomenys yra tvarkomi sutikimo pagrindu (Reglamento 6 straipsnio 1 dalies a punktas), t. y. asmeniui užpildant Bendrovės teikiamą anketą dėl lojalumo programos ir duodant sutikimą dėl asmens duomenų tvarkymo

76. Asmens duomenys yra tvarkomi siekiant suteikti galimybę lojalumo programos dalyviams įsigyti prekių ir paslaugų palankiomis sąlygomis, pritaikyti jiems akcijas ir nuolaidas, išlaikyti esamus bei pritraukti naujų pirkėjų, palaikyti su jais ilgalaikius santykius, gerinti Įstaigos parduodamų prekių bei teikiamų paslaugų kokybę ir asortimentą, atsižvelgiant į lojalumo programos dalyvių poreikius. Bendrovės vykdomą lojalumo programą sudaro programos dalyvių pakvietimai į išskirtinius renginius, konkursų organizavimas, personalizuoti pasiūlymai ir paslaugos, akcijos ir nuolaidos programos dalyviams. Lojalumo programos sudėtinė dalis yra ir Bendrovės vykdoma tiesioginė rinkodara, kurios pagalba yra realizuojamas lojalumo programos turinys. Asmens duomenų tvarkymo reikalavimai, keliami Bendrovės vykdomai tiesioginei rinkodarai, yra nustatyti Taisyklių XI skyriuje.

77. Lojalumo programos dalyviams yra išduodamos vardinės lojalumo kortelės, kurios patvirtina jų dalyvavimą lojalumo programoje ir jų teisę gauti Įstaigos lojalumo programos siūlomas paslaugas.

78. Asmuo tampa Bendrovės lojalumo programos nariu raštu arba elektroniniu būdu užpildęs Įstaigos teikiamą anketą dėl lojalumo programos.

79. Bendrovė, anketoje dėl dalyvavimo lojalumo programoje reikalaudama nurodyti gimimo datą, užtikrina, kad lojalumo programoje nedalyvautų jaunesni nei 14 (keturiolikos) metų amžiaus asmenys, išskyrus jei yra pateikiamas tokių asmenų tėvų sutikimas.

80. Įstaiga lojalumo programos dalyvių asmens duomenis susitarimų dėl asmens duomenų tvarkymo pagrindu gali perduoti duomenų tvarkytojams be išankstinio programos dalyvių sutikimo.

81. Lojalumo programos dalyvių asmens duomenis tvarko Įstaigos direktoriaus įgalioti darbuotojai. Prie konkrečių lojalumo programos dalyvių asmens duomenų prieigą turi tik tie darbuotojai, kuriems pavesta atitinkamus duomenis tvarkyti.

82. Lojalumo programos dalyvių asmens duomenys yra tvarkomi iki kol programos dalyviai nutraukia dalyvavimą Įstaigos lojalumo programoje ir grąžina Įstaigos išduotą vardinę lojalumo kortelę (jei tokia buvo išduota), tačiau ne ilgiau kaip 10 (dešimt) metų nuo asmens duomenų įgijimo dienos. Lojalumo programos dalyviams nutraukus dalyvavimą Įstaigos lojalumo programoje ir grąžinus Įstaigos išduotą vardinę lojalumo kortelę (jei tokia buvo išduota) jų asmens duomenys rankiniu būdu yra ištrinami iš Įstaigos kompiuterių, kuriuose jie buvo tvarkomi ir saugomi, taip pat sunaikinamos jų vardinės kortelės.

XIV. DUOMENŲ SUBJEKTO TEISĖS IR PAREIGOS

83. Duomenų subjektai turi atitinkamas teises:

83.1. teisę susipažinti su tvarkomais asmens duomenimis;

83.2. teisę reikalauti ištaisyti arba patikslinti neteisingus arba netikslius asmens duomenis;

83.3. teisę reikalauti ištrinti tvarkomus asmens duomenis;

83.4. teisę apriboti asmens duomenų tvarkymą;

83.5. teisę gauti su duomenų subjektais susijusius asmens duomenis, kuriuos jie pateikė duomenų valdytojui, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui;

83.6. teisę nesutikti su asmens duomenų tvarkymu;

83.7. teisę bet kada atšaukti duotą sutikimą dėl jų asmens duomenų tvarkymo.

84. Duomenų subjektų teisėms taikomas sąlygas, apribojimus, ir teisių įgyvendinimo tvarką nustato Bendrovės direktoriaus patvirtintas Duomenų subjektų teisių įgyvendinimo tvarkos aprašas.

85. Duomenų subjektai turi atitinkamas pareigas:

85.1. Bendrovėi pateikti išsamius ir teisingus asmens duomenis;

85.2. pasikeitus duomenų subjekto asmens duomenims arba duomenų subjektui pateikus neteisingus asmens duomenis, nedelsiant apie tai informuoti Bendrovę ir pateikti naujus arba patikslintus asmens duomenis;

85.3. sąžiningai naudotis ir nepiktnaudžiauti savo turimomis teisėmis.

XV. ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

86. Bendrovėje asmens duomenų saugumas užtikrinamas nurodytomis organizacinėmis ir techninėmis duomenų apsaugos priemonėmis:

86.1. užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė;

86.2. užtikrinamas tvarkomų asmens duomenų vientisumas;

86.3. prieiga prie asmens duomenų suteikiama tik darbuotojams, kurie turi įgaliojimus tvarkyti asmens duomenimis. Darbuotojai, dirbantys su asmens duomenimis, privalo būti pasirašę pasižadėjimus tinkamai tvarkyti asmens duomenis ir saugoti šių duomenų konfidencialumą;

86.4. duomenų subjektui pateikus prašymą pakeisti ar patikslinti jo asmens duomenis jo prašymas užregistruojamas, išnagrinėjamas Bendrovės duomenų subjektų teisių įgyvendinimo tvarkos aprašo nustatyta tvarka ir, jei prašymas yra patenkinamas, duomenų subjekto asmens duomenys vidinėje duomenų bazėje yra atnaujinami, o nereikalingi asmens duomenys – ištrinami;

86.5. Bendrovės personalo, finansų, buhalterinės apskaitos ir atskaitomybės bylos, taip pat kitos archyvinės bylos ir atitinkamos elektroninės bylos keičiantis darbuotojams, atsakingiems už šių bylų tvarkymą, yra perduodamos naujai Bendrovės direktoriaus paskirtiems darbuotojams perdavimo-priėmimo aktu;

86.6. naikinant dokumentus, kurių saugojimo terminai yra pasibaigę ir kuriuose yra pateikti duomenų subjektų asmens duomenys, jie bei jų kopijos turi būti sunaikinti taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;

86.7. prisijungimų prie Bendrovės naudojamų kompiuterių, vietinio tinklo sričių, kuriose saugomi asmens duomenys, programinės įrangos ir elektroninio pašto paskyrų slaptažodžiams keliami reikalavimai:

86.7.1. naujas slaptažodis turi būti unikalus, sudarytas iš ne mažiau kaip 8 simbolių, iš kurių bent vienas simbolis turi būti skaičius ir bent viena raidė turi būti didžioji;

86.7.2. kuriant slaptažodžio simbolių kombinaciją, draudžiama naudoti asmeninio pobūdžio informaciją.

86.8. kompiuterių ir vietinio tinklo naudotojų vardai ir slaptažodžiai yra asmeniniai. Baigus darbą, svarbu atsijungti nuo bet kurio naudoto kompiuterio bei vietinio tinklo ir įsitikinti, kad kiti asmenys nepasinaudos asmeniniu kompiuterio ar vietinio tinklo naudotojo vardu ir slaptažodžiu;

86.9. Bendrovės naudojamų kompiuterių, vietinio tinklo sričių, programinės įrangos paskyrų, kuriuose tvarkomi asmens duomenys, slaptažodžiai turi būti keičiami ne rečiau kaip kartą per 2 mėnesius. Gamintojo suteikti vaizdo kamerų standartinių vartotojų slaptažodžiai turi būti keičiami kartą per 1 metus. Esant vietinio tinklo asmens duomenų saugumo pažeidimui, nedelsiant turi būti keičiami visų Bendrovės vietinio tinklo naudotojų slaptažodžiai. Jei egzistuoja tikimybė, kad konkretaus Bendrovės naudojamo kompiuterio, vietinio tinklo, programinės įrangos, elektroninio pašto paskyros slaptažodis buvo atskleistas tretiesiems asmenims arba paviešintas išoriniuose tinkluose, toks slaptažodis turi būti nedelsiant pakeičiamas;

86.10. draudžiama per Bendrovės el. pašto paskyras siųsti kenkėjiško, nelegalaus ir kito netinkamo turinio el. laiškus. Jei gaunamas el. laiškas su įtartinu turiniu ar priedais, draudžiama tokį laišką ir jo priedus atidaryti ar išsaugoti, o atitinkamo siuntėjo el. pašto adresas turi būti blokuojamas. Taip pat draudžiama atidaryti ar naudoti bet kokį el. laišku gautą vykdomąjį failą (.exe, .cmd, .bat, .scr, .com ir t. t.). Visuomet prieš atsakant arba persiunčiant laišką trečiajam asmeniui privaloma patikrinti siunčiamo laiško turinį. Draudžiama sukonfigūruoti darbinį el. paštą asmeniniame kompiuteryje, telefone, planšetėje, kitame įrenginyje;

86.11. Bendrovės internetiniame puslapyje turi būti maksimaliai apribotos galimybės viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti internetiniame puslapyje esančią informaciją ir surasti anksčiau skelbtos, bet iš internetinio puslapio jau pašalintos informacijos kopijų;

86.12. draudžiama netinkamai naudoti Bendrovės darbinius kompiuterius ar juos gadinti. Baigus naudotis darbo kompiuteriu, visuomet privaloma užrakinti jo ekraną. Bendrovės naudojamuose kompiuteriuose, kuriuose tvarkomi asmens duomenys, naudojamos tik su darbu ir Bendrovės veikla susijusios paskyros;

86.13. draudžiama Bendrovės kompiuteriuose naudoti išorines laikmenas, kuriose gali būti kenkėjiškų programų ar virusų (USB, CD-ROM, DVD diskai, išoriniai HDD, SSD ir t. t.);

86.14. visa Bendrovės naudojama operacinė sistema ir programinė įranga yra palaikoma ir licencijuojama. Visa Bendrovės naudojama operacinė sistema ir programinė įranga yra automatiškai atnaujinama licenciją suteikiančios įmonės gamintojos nustatyta tvarka. Bendrovės programos yra licencijuojamos tik jų naudojimui Bendrovėje, bet ne kitur;

86.15. darbuotojų ar kitų asmenų, nebetvarkančių asmens duomenų Bendrovės pavedimu, kompiuterių, vietinio tinklo sričių, kuriose saugomi asmens duomenys, programinės įrangos ir elektroninio pašto paskyros yra panaikinamos per 12 mėnesių.

86.16. visuose Bendrovės kompiuteriuose yra įdiegta naujausia licencijuota antivirusinė programinė įranga;

86.17. Bendrovės vietinis tinklas ir kompiuteriai turi ugniasienes;

86.18. užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas. Tretiesiems asmenims ar neįgaliotiems dirbti su atitinkamais asmens duomenimis darbuotojams ribojamas patekimas į patalpas, kuriose saugomi asmens duomenys;

86.19. Bendrovės dokumentai, jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ir kitos bylos, kuriose yra pateikiami Bendrovės duomenų subjektų asmens duomenys, yra saugomos rakinamose spintose, seifuose ar patalpose;

86.20. archyviniam saugojimui perduotos darbuotojų asmens bylos iki perdavimo archyvui yra saugomos Bendrovės archyve rakinamoje dokumentų saugykloje;

86.21. už vaizdo duomenų tvarkymą atsakingi Bendrovės darbuotojai privalo į patalpas, kuriose yra vaizdo duomenų įrašymo įrenginiai, be palydos neįleisti pašalinių asmenų, ir pastebę vaizdo sistemos darbo sutrikimus nedelsiant pranešti Bendrovės direktoriui ir vaizdo stebėjimo techninę priežiūrą atliekantiems asmenims;

86.22. užtikrinama asmens duomenų, esančių išorinėse duomenų laikmenose, saugos kontrolė ir ištrynimas;

86.23. užtikrinama, kad informacinių sistemų testavimas Bendrovėje nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;

86.24. asmens duomenys į išorinius tinklus iš Bendrovės vietinio tinklo perduodami tik juos pirmiausia užšifravus;

86.25. Bendrovės naudojama vaizdo stebėjimo sistema yra techniškai prižiūrima. Sistemos sutrikimai turi būti operatyviai šalinami, naudojant visus turimus techninius resursus.

XVI. ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

87. Bendrovė turi teisę pasitelkti duomenų tvarkytoją, kuris tvarkys Bendrovės pavestus asmens duomenis.

88. Tais atvejais, kai Bendrovė pasitelkia duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Bendrovės ir duomenų tvarkytojo rašytinis susitarimas dėl asmens duomenų tvarkymo. Šis susitarimas rengiamas pagrindinės Bendrovės ir duomenų tvarkytojo sutarties, kurios tinkamam vykdymui duomenų tvarkytojas privalo tvarkyti Bendrovės pavedamus asmens duomenis, pagrindu.

89. Bendrovė duomenų tvarkytojo atžvilgiu turi šias pareigas:

89.1. įsitikinti, kad duomenų tvarkytojo taikomos techninės ir organizacinės apsaugos priemonės užtikrina tinkamą duomenų tvarkytojui pavestų tvarkyti asmens duomenų ir duomenų subjektų teisių ir teisėtų interesų apsaugą;

89.2. informuoti duomenų tvarkytoją apie duomenų saugumo pažeidimą, jei duomenų saugumo pažeidimas kelia riziką duomenų tvarkytojo vykdomam Bendrovės pavestų asmens duomenų tvarkymui;

89.3. paskirti asmenis, atsakingus už papildomų rašytinių nurodymų ar instrukcijų duomenų tvarkytojui teikimą, kitų Bendrovės pareigų ir teisių įgyvendinimą, taip pat duomenų tvarkytojo ir Bendrovės veiksmų koordinavimą;

89.4. per protingą laiko tarpą raštu informuoti duomenų tvarkytoją apie patenkintą duomenų subjekto prašymą ištaisyti, ištrinti tam tikrus jo asmens duomenis arba apriboti šių asmens duomenų tvarkymą ir teikti rašytinį nurodymą duomenų tvarkytojui atitinkamus duomenis ištaisyti, ištrinti ar apriboti jų tvarkymą. Bendrovės pareiga raštu informuoti duomenų tvarkytoją apie asmens duomenų ištaisymą, ištrynimą ar šių duomenų tvarkymo apribojimą ir skirti duomenų tvarkytojui rašytinius nurodymus atsiranda tik tuo atveju, jei duomenų subjektas ir jo asmens duomenys, kuriuos Bendrovė ištaisė, ištrynė ar apribojo jų tvarkymą, patenka į duomenų tvarkytojo tvarkomas duomenų subjektų ir asmens duomenų kategorijas, nurodytas susitarime dėl asmens duomenų tvarkymo. Bendrovės rašytiniame nurodyme pateikiamas duomenų subjekto vardas, pavardė, kategorija, jo asmens duomenų, kuriuos Bendrovė ištaisė, ištrynė ar apribojo jų tvarkymą, sąrašas, nustatomi veiksmai, kuriuos duomenų tvarkytojas privalo atlikti, ir nurodomas veiksmų atlikimo terminas, atsižvelgiant į asmens duomenų, kuriuos nurodoma ištaisyti, ištrinti ar apriboti jų tvarkymą, kiekį ir tvarkymo apimtis. Kai duomenų tvarkytojui nurodoma ištaisyti tam tikrus duomenų subjekto asmens duomenis, Bendrovė nurodyme taip pat turi pateikti, kaip turi būti ištaisomi atitinkami duomenys;

89.5. vykdyti kitas pareigas, numatytas Reglamente, ADTAĮ, kituose teisės aktuose, nustatančiuose reikalavimus dėl asmens duomenų tvarkymo ir apsaugos, kiek šių pareigų vykdymas yra susijęs su susitarimo dėl asmens duomenų tvarkymo tinkamu įgyvendinimu.

90. Bendrovė duomenų tvarkytojo atžvilgiu turi šias teises:

90.1. patikrinti ir įvertinti, ar duomenų tvarkytojas faktiškai įgyvendina technines ir organizacines priemones, duomenų tvarkytojo aprašytas susitarime dėl asmens duomenų tvarkymo;

90.2. reikalauti duomenų tvarkytojo įgyvendinti papildomas technines ir organizacines priemones ar pakoreguoti Bendrovės pavestų asmens duomenų tvarkymo veiklą, jei Bendrovė pagrįstai mano, kad be papildomų techninių ir organizacinių priemonių ar duomenų tvarkytojui nepakoregavus asmens duomenų tvarkymo veiklos, gali kilti rizika asmens duomenų saugumui ir duomenų subjektų, kurių asmens duomenis tvarko duomenų tvarkytojas, teisėms ir teisėtiems interesams. Duomenų tvarkytojas gali atsisakyti vykdyti Bendrovės nurodymą įgyvendinti papildomas technines ir organizacines priemones ar pakoreguoti Bendrovės pavestų asmens duomenų tvarkymo veiklą, jei dėl atitinkamų papildomų techninių ir organizacinių priemonių diegimo ar duomenų tvarkymo veiklos koregavimo duomenų tvarkytojas patirtų nepagrįstai dideles išlaidas, o Bendrovė atsisakytų jas kompensuoti.

90.3. jei duomenų tvarkytojas yra atlikęs auditą ar yra gavęs patvirtintos sertifikavimo Bendrovės išduotą sertifikatą dėl jo taikomų techninių ir organizacinių priemonių atitikties Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų reikalavimams, gauti audito ataskaitos ar sertifikato kopiją;

90.4. kontroliuoti, kaip duomenų tvarkytojas ir kiti asmenys, duomenų tvarkytojo įgalioti tvarkyti Bendrovės pavestus asmens duomenis, laikosi konfidencialumo pareigos, įtvirtintos susitarime dėl asmens duomenų tvarkymo;

90.5. leisti duomenų tvarkytojui pasitelkti kitus duomenų tvarkytojus (toliau – Subtvarkytojai) Bendrovės pavestų asmens duomenų tvarkymui;

90.6. pasitelkti kitą duomenų tvarkytoją dėl tų pačių asmens duomenų tvarkymo tais pačiais arba kitais tikslais;

90.7. susipažinti su duomenų tvarkytojo dokumentais, kuriais dokumentuojamas Bendrovės pavestų asmens duomenų tvarkymo procesas, ir gauti šių dokumentų kopijas, taip pat gauti kitą informaciją iš duomenų tvarkytojo, susijusią su Bendrovės pavestų asmens duomenų tvarkymu;

90.8. apriboti duomenų tvarkytojo vykdomą Bendrovės pavestų visų ar dalies asmens duomenų tvarkymą, kai Bendrovė turi pagrindo manyti, kad duomenų tvarkytojo tvarkomi asmens duomenys yra netikslūs arba neteisingi, duomenų tvarkytojo ar jo įgaliotų asmenų asmens duomenų tvarkymas yra vykdomas kitais nei susitarime dėl asmens duomenų tvarkymo nustatytais tvarkymo tikslais, tvarkymas neatitinka susitarime dėl asmens duomenų tvarkymo aprašyto tvarkymo pobūdžio, duomenų tvarkytojas ir jo įgalioti darbuotojai nesilaiko konfidencialumo pareigos, duomenų tvarkytojo taikomos techninės ir organizacinės priemonės nebeužtikrina tinkamos duomenų tvarkytojo Bendrovės pavedimu tvarkomų asmens duomenų ir duomenų subjektų teisių ir teisėtų interesų apsaugos, duomenų tvarkytojas faktiškai neįgyvendina techninių ir organizacinių priemonių, duomenų tvarkytojas pažeidžia susitarimo dėl asmens duomenų tvarkymo sąlygas, Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų reikalavimus dėl asmens duomenų tvarkymo ir apsaugos. Asmens duomenų tvarkymo apribojimo laikotarpiui yra sustabdomas pagrindinės sutarties vykdymas, nebent asmens duomenų tvarkymo apribojimas neužkerta kelio tinkamam pagrindinės sutarties įgyvendinimui;

90.9. nutraukti pagrindinę sutartį su duomenų tvarkytoju tais pačiais pagrindais, kurie taikomi duomenų tvarkytojo vykdomam asmens duomenų tvarkymo apribojimui, išskyrus atvejus, kai Bendrovė turi pagrindo manyti, kad duomenų tvarkytojo tvarkomi Bendrovės pavesti asmens duomenys yra netikslūs arba neteisingi;

90.10. teikti duomenų tvarkytojui papildomus rašytinius nurodymus ar instrukcijas dėl asmens duomenų tvarkymo ir saugumo atvejų siekiant tinkamai įgyvendinti keliamus reikalavimus duomenų tvarkytojo vykdomam asmens duomenų tvarkymui ir apsaugai;

90.11. turi kitas teises duomenų tvarkytojo atžvilgiu, numatytas Reglamente, ADTAĮ ir kituose Lietuvos Respublikos teisės aktuose.

91. Duomenų tvarkytojas Bendrovės atžvilgiu turi šias pareigas:

91.1. tvarkyti asmens duomenis tik pagal šių Taisyklių, susitarimo dėl asmens duomenų tvarkymo nuostatas ir Bendrovės teikiamus papildomus nurodymus ar instrukcijas, įskaitant asmens duomenų perdavimą tretiesiems asmenims. Tvarkyti asmens duomenis be Bendrovės nurodymo duomenų tvarkytojas privalo, kai teisinę duomenų tvarkytojo prievolę nustato Europos Sąjungos ar valstybės narės teisė. Tokiu atveju duomenų tvarkytojas prieš pradėdamas tvarkyti asmens duomenis ne vėliau kaip per 2 dienas praneša apie jo teisinę prievolę Bendrovėi, išskyrus atvejus, kai remiantis Europos Sąjungos ar valstybės narės teise toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių. Jei duomenų tvarkytojas iš Bendrovės nėra gavęs papildomų rašytinių nurodymų ar instrukcijų, kaip tvarkyti asmens duomenis konkrečioje situacijoje, arba jei Bendrovės duoti papildomi rašytiniai nurodymai ar instrukcijos prieštarauja Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimams, duomenų tvarkytojas nedelsdamas, bet ne vėliau kaip per 2 dienas apie tai informuoja Bendrovę;

91.2. gavęs prašymą iš VDAI, vykdyti prašyme pateikiamus nurodymus ar rekomendacijas, taip pat kitais būdais bendradarbiauti su VDAI jai vykdant savo tiesiogines funkcijas. Apie VDAI prašyme pateikiamus nurodymus ar rekomendacijas duomenų tvarkytojas privalo informuoti Bendrovę ne vėliau kaip per 2 dienas;

91.3. padėti Bendrovėi įgyvendinti duomenų subjektų teises, numatytas Reglamento 3 skyriuje, jei duomenų tvarkytojui yra pavesta tvarkyti atitinkamos duomenų subjektų kategorijos asmens duomenis;

91.4. gavus duomenų subjekto prašymą pateikti informaciją apie jo asmens duomenis, Bendrovės pavestus tvarkyti duomenų tvarkytojui, arba įgyvendinti kitą teisę, numatytą Reglamento 3 skyriuje, perduoti šį prašymą Bendrovėi ne vėliau kaip 2 dienas nuo prašymo gavimo dienos;

91.5. Bendrovėi pareikalavus, suteikti visą informaciją apie vykdomą jos vardu asmens duomenų tvarkymą;

91.6. užtikrinti faktinį tinkamų organizacinių ir techninių priemonių įgyvendinimą, taip pat įgyvendinti papildomas technines ir organizacines priemones Bendrovėi pareikalavus, nebent dėl atitinkamų papildomų techninių ir organizacinių priemonių diegimo duomenų tvarkytojas patirtų nepagrįstai dideles išlaidas, o Bendrovė atsisakytų jas kompensuoti;

91.7. Bendrovėi pareikalavus, suteikti audito ataskaitos ar sertifikato kopiją, jei duomenų tvarkytojas yra atlikęs auditą ar yra gavęs patvirtintos sertifikavimo Bendrovės išduotą sertifikatą dėl jo taikomų techninių ir organizacinių priemonių atitikties Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų reikalavimams;

91.8. ne vėliau kaip 5 dienas nuo susitarimo dėl asmens duomenų tvarkymo sudarymo dienos sudaryti ir patvirtinti duomenų tvarkytojo darbuotojų, įgaliotų tvarkyti Bendrovės pavestus asmens duomenis, sąrašą ir jį pateikti Bendrovėi. Duomenų tvarkytojui pakeitus, papildžius, atnaujinus ir iš naujo patvirtintus darbuotojų, įgaliotų tvarkyti Bendrovės pavestus asmens duomenis, sąrašą, duomenų tvarkytojas privalo pakeistą, papildytą ar atnaujintą sąrašą pateikti Bendrovėi per 5 dienas nuo naujo sąrašo patvirtinimo dienos;

91.9. po susitarimo dėl asmens duomenų tvarkymo sudarymo sudaryti su darbuotojais pasižadėjimus dėl tinkamo asmens duomenų tvarkymo, atitinkančius duomenų tvarkytojo ir jo įgaliotų darbuotojų konfidencialumo pareigos sąlygą. Duomenų tvarkytojui draudžiama leisti darbuotojams susipažinti su Bendrovės asmens duomenimis ir pradėti juos tvarkyti, taip pat suteikti prieigą prie šių asmens duomenų kol su jais nėra sudaryti tokie pasižadėjimai;

91.10. užtikrinti, kad įgalioti darbuotojai tvarkytų Bendrovės pavestus asmens duomenis susitarime dėl asmens duomenų tvarkymo nustatytais tikslais, laikytųsi nustatyto asmens duomenų tvarkymo pobūdžio, konfidencialumo pareigos, organizacinių ir techninių asmens duomenų apsaugos priemonių įgyvendinimo tvarkos ir kitų reikalavimų;

91.11. tvarkyti asmens duomenis tik ta apimtimi, kuri yra nustatyta susitarime dėl asmens duomenų tvarkymo ir yra būtina funkcijoms pagal šį susitarimą atlikti;

91.12. Bendrovėi pareikalavus pateikti dokumentų, kuriais dokumentuojamas Bendrovės pavestų asmens duomenų tvarkymo procesas, kopijas;

91.13. informuoti Bendrovę apie asmens duomenų saugumo pažeidimą Asmens duomenų saugumo pažeidimų valdymo ir reagavimo į juos tvarkos aprašo nustatyta tvarka ir imtis kitų veiksmų siekiant pašalinti atsiradusį pažeidimą;

91.14. atlyginti Bendrovėi jos patirtus nuostolius, kurie atsirado duomenų tvarkytojui pažeidus Taisyklių, susitarimo dėl asmens duomenų tvarkymo sąlygų, Reglamento, ADTAĮ ir kitų teisės aktų, kuriais reguliuojamas duomenų tvarkymas ir apsauga, reikalavimus;

91.15. suėjus susitarimo dėl asmens duomenų tvarkymo galiojimo terminui grąžinti Bendrovėi jos pavestus tvarkyti duomenis ir ištrinti asmens duomenų kopijas arba ištrinti Bendrovės pavestus asmens duomenis be grąžinimo;

91.16. vykdyti kitas pareigas, numatytas Reglamente, ADTAĮ, kituose teisės aktuose, nustatančiuose reikalavimus dėl asmens duomenų tvarkymo ir apsaugos, kiek šių pareigų vykdymas yra susijęs su susitarimo dėl asmens duomenų tvarkymo tinkamu įgyvendinimu.

92. Duomenų tvarkytojas Bendrovės atžvilgiu turi šias teises:

92.1. keisti, papildyti, atnaujinti duomenų tvarkytojo darbuotojų, įgaliotų tvarkyti Bendrovės pavestus asmens duomenis, sąrašą;

92.2. konsultuotis su Bendrovė ir prašyti suteikti papildomus nurodymus ir instrukcijas dėl asmens duomenų tvarkymo ir apsaugos atvejų, kurių neapibrėžia Taisyklių nuostatos ir susitarimo dėl asmens duomenų tvarkymo sąlygos, siekiant tinkamai įgyvendinti keliamus reikalavimus duomenų tvarkytojo vykdomam asmens duomenų tvarkymui ir apsaugai;

92.3. Bendrovėi sutikus, pasitelkti kitus duomenų tvarkytojus (Subtvarkytojus) Bendrovės pavestų asmens duomenų tvarkymui;

92.4. diegti papildomas organizacines ir technines apsaugos priemones tvarkomų Bendrovės asmens duomenų apsaugai šias priemones suderinus su Bendrovė;

92.5. turi kitas teises Bendrovės atžvilgiu numatytas Reglamente, ADTAĮ ir kituose Lietuvos Respublikos teisės aktuose.

93. Kito duomenų tvarkytojo (subtvarkytojo) pasitelkimo sąlygos ir tvarka:

93.1. duomenų tvarkytojas gali pasitelkti subtvarkytojus tik gavęs išankstinį rašytinį Bendrovės sutikimą;

93.2. duomenų tvarkytojas privalo iš anksto informuoti Bendrovę apie bet kokius planuojamus pakeitimus, susijusius su subtvarkytojų pasitelkimu ar pakeitimu, ir gauti Bendrovės rašytinį sutikimą;

93.3. duomenų tvarkytojo ir subtvarkytojo sutartyje ar kitame susitarime turi būti nustatomos tokios pačios pareigos ir kiti reikalavimai, keliami duomenų tvarkytojui;

93.4. duomenų tvarkytojas turi pareigą įsitikinti, ar subtvarkytojas faktiškai įgyvendina duomenų tvarkytojo ir subtvarkytojo sutartyje ar kitame susitarime nustatytas organizacines ir technines apsaugos priemones, taip pat kontroliuoti, kaip subtvarkytojas ir jo įgalioti darbuotojai vykdo jam duomenų tvarkytojo pavestų Bendrovės asmens duomenų tvarkymą;

93.5. duomenų tvarkytojas visiškai atsako Bendrovėi už subtvarkytojo netinkamai atliekamą Bendrovės asmens duomenų tvarkymą, taip pat kitus reikalavimų ir sąlygų pažeidimus.

94. Asmens duomenų grąžinimo Bendrovėi ir ištrynimo sąlygos ir tvarka:

94.1. pasibaigus susitarimo dėl asmens duomenų tvarkymo galiojimo terminui, duomenų tvarkytojas privalo grąžinti Bendrovėi visus susitarimo dėl asmens duomenų tvarkymo pagrindu tvarkytus Bendrovės asmens duomenis ir ištrinti ar sunaikinti tiek popierines, tiek skaitmenines šių asmens duomenų kopijas, nebent Bendrovė duoda nurodymą duomenų tvarkytojui ištrinti visus jos tvarkytus asmens duomenis jų negrąžinant arba asmens duomenų grąžinimas dėl asmens duomenų pateikimo būdo, kiekio ar kitų priežasčių yra neįmanomas arba pareikalautų neproporcingų duomenų tvarkytojo pastangų. Jei duomenų tvarkytojas negrąžina Bendrovėi asmens duomenų dėl to, kad asmens duomenų gražinimas nėra įmanomas arba pareikalautų neproporcingų duomenų tvarkytojo pastangų, duomenų tvarkytojas tokius asmens duomenis privalo ištrinti arba sunaikinti;

94.2. duomenų tvarkytojas negrąžina Bendrovėi susitarimo dėl asmens duomenų tvarkymo pagrindu tvarkytų asmens duomenų, taip pat neištrina šių duomenų ar jų kopijų, jei duomenų tvarkytojui yra nustatoma teisinė prievolė atitinkamus asmens duomenis saugoti LR teisės aktų nustatyta tvarka.

95. Bendrovės ir duomenų tvarkytojo atsakomybė:

95.1. Bendrovėi ir/arba jos duomenų tvarkytojui už Reglamento, ADTAĮ ir kitų LR teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, pažeidimus kyla atsakomybė Reglamento ir įstatymų nustatyta tvarka;

95.2. Bendrovė ir/arba jos duomenų tvarkytojas privalo kompensuoti bet kuriam asmeniui sukeltą turtinę, taip pat ir neturtinę žalą dėl Reglamento, ADTAĮ ir kitų LR teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, pažeidimų įstatymų nustatyta tvarka.

96. Bendrovė pasirenka tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

XVII. ASMENS DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

97. Bendrovė rengia ir registruoja duomenų tvarkymo veiklos įrašus. Duomenų tvarkymo veiklos įrašai Bendrovėje rengiami vidaus administravimo, tiesioginės rinkodaros tikslais ir vaizdo stebėjimui. Bendrovėje duomenų tvarkymo veiklos įrašai gali būti rengiami ir kitais tikslais. Tvarkomuose duomenų tvarkymo veiklos įrašuose pateikiama toliau nurodyta informacija:

97.1. duomenų tvarkymo tikslai;

97.2. bendroji informacija apie Bendrovę;

97.3. Bendrovės atstovo kontaktiniai duomenys;

97.4. tvarkymo veiklos pobūdis, susijęs su asmens duomenų tvarkymo tikslu;

97.5. duomenų subjektų kategorijos ir tvarkomi asmens duomenys;

97.6. duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijos;

97.7. asmens duomenų ištrynimo terminai;

97.8. bendras techninių ir organizacinių saugumo priemonių aprašymas;

97.9. duomenų subjektams taikomos teisės.

98. Asmens duomenų tvarkymo veiklos įrašai turi būti tvarkomi raštu, įskaitant elektroninę formą.

99. Bendrovė, gavusi prašymą iš Valstybinės duomenų apsaugos inspekcijos, privalo pateikti atitinkamus duomenų tvarkymo veiklos įrašus.

100. Bendrovėje yra nustatyta tvarkymo veiklos įrašų forma.

XVIII. BAIGIAMOSIOS NUOSTATOS

101. Visi Bendrovės darbuotojai, tvarkantys asmens duomenis, ir duomenų tvarkytojai privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo, konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente.

102. Darbuotojai, tvarkantys asmens duomenis, su Taisyklėmis supažindinami pasirašytinai.

103. Šių Taisyklių nesilaikymas darbuotojams, tvarkantiems arba turintiems prieigą prie Bendrovė valdomų asmens duomenų, laikomas darbo pareigų pažeidimu.

104. Darbuotojai, tvarkantys asmens duomenis, pažeidę Reglamento, ADTAĮ ir kitų Lietuvos Respublikos teisės aktų, reguliuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, atsako įstatymų nustatyta tvarka.

Parsisiųsti sutikimą dėl asmens duomenų perdavimo.

____________________________________________

PATVIRTINTA

UAB „Krispo“ direktoriaus

2018 m. rugsėjo 19 d. įsakymu Nr. 20180919

UAB „KRISPO“

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKOS APRAŠAS

I. SĄVOKOS

1. Pagrindinės Duomenų subjektų teisių įgyvendinimo tvarkos apraše (toliau – Aprašas) naudojamos sąvokos:

1.1. ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

1.2. asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti;

1.3. duomenų subjektas – fizinisasmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

1.4. duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

1.5. duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita Bendrovė, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne;

1.6. duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita Bendrovė, kuri duomenų valdytojo vardu tvarko asmens duomenis;

1.7. duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita Bendrovė, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones;

1.8. Reglamentas –Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. Reglamentas (ES) 2016/679;

1.9. VDAI – Valstybinė duomenų apsaugos inspekcija;

1.10. kitos sąvokos kaip jos apibrėžtos Reglamente, ADTAĮ ir kituose teisės aktuose, reguliuojančiuose asmens duomenų tvarkymą ir apsaugą.

II. BENDROSIOS NUOSTATOS

2. UAB „Krispo“ (toliau – Bendrovė) Aprašas nustato duomenų subjekto teises, įtvirtintas Reglamente, šių teisių apimtį, įgyvendinimo sąlygas ir apribojimus, prašymų dėl duomenų subjekto teisių pateikimo ir nagrinėjimo tvarką ir duomenų subjekto skundų nagrinėjimo tvarką.

3. Aprašas parengtas vadovaujantis Reglamento 3 skyriaus nuostatomis.

4. Aprašas nustato bendrą teisių įgyvendinimo tvarką visoms Bendrovės duomenų subjektų kategorijoms:

4.1. darbuotojams;

4.2. kandidatams į laisvas darbo vietas Bendrovėje;

4.3. akcininkams, jų atstovams;

4.4. Bendrovės klientams;

4.5. tiekėjų juridinių asmenų atstovams;

4.6. Bendrovės internetinio puslapio www.krispo.lt;

4.7. Bendrovės naujienlaiškius gaunantiems fiziniams asmenims;

4.8. kitiems fiziniams asmenims, kurių asmens duomenis tvarko Bendrovė.

5. Aprašo tikslas – atsižvelgiant į tvarkomų asmens duomenų apimtį, kategorijas, tvarkymo tikslus ir pagrindus, užtikrinti visapusišką duomenų subjektų teisių įgyvendinimą, sudaryti sąlygas duomenų subjektams pateikti prašymus ir skundus dėl jų teisių įgyvendinimo ir nustatyti atsakymų į duomenų subjektų pateiktus prašymus ir skundus terminus, ne ilgesnius negu leidžia Reglamento 12 straipsnio 3 dalies nuostatos.

6. Bendrovė siekdama užtikrinti skaidrumo principo įgyvendinimą glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba suteikia duomenų subjektams visą informaciją, reikalingą jiems realizuoti savo teises, įtvirtintas Reglamento 3 skyriuje.

III. DUOMENŲ SUBJEKTŲ TEISĖS

7. Duomenų subjektas turi šias teises:

7.1. teisę susipažinti su Bendrovės tvarkomais jo asmens duomenimis;

7.2. teisę reikalauti ištaisyti jo asmens duomenis;

7.3. teisę reikalauti ištrinti jo asmens duomenis („teisė būti pamirštam“);

7.4. teisę apriboti savo asmens duomenų tvarkymą;

7.5. teisę nesutikti su jo asmens duomenų tvarkymu;

7.6. teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Bendrovei, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, bei persiųsti gautus duomenis kitam duomenų valdytojui („teisė į duomenų perkeliamumą“);

7.7. teisę bet kuriuo metu atšaukti duotą sutikimą.

8. Duomenų subjektų teisės nėra absoliučios, jos ribojamos Reglamento ir LR įstatymų ir kitų teisės aktų nuostatomis.

IV. TEISĖS SUSIPAŽINTI SU BENDROVĖS TVARKOMAIS ASMENS DUOMENIMIS APIMTIS

9. Bet kuris Bendrovės duomenų subjektas turi teisę iš Bendrovės gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su jo tvarkomais asmens duomenimis.

10. Duomenų subjektas taip pat turi teisę susipažinti su šia informacija:

10.1. asmens duomenų tvarkymo tikslu;

10.2. tvarkomų asmens duomenų kategorijomis;

10.3. jei asmens duomenys bus perduodami duomenų gavėjams – duomenų gavėjus ar jų kategorijas;

10.4. numatomu saugojimo laikotarpiu jo tvarkomiems asmens duomenims, kuris gali būti apibrėžiamas konkrečiu terminu arba kitais kriterijais;

10.5. teise prašyti Bendrovės ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu, taip pat šių teisių įgyvendinimo tvarka;

10.6. teise pateikti skundą priežiūros institucijai;

10.7. jei asmens duomenis pateikė ne pats duomenų subjektas – informacija apie asmens duomenis perdavusį asmenį.

11. Duomenų subjektas įgyvendindamas šiame skyriuje nustatytą teisę prašyme nurodo vardą, pavardę, su kokia konkrečia informacija, numatyta Aprašo 10 punkte, jis nori susipažinti, arba nurodo, kad nori susipažinti su visa Aprašo 10 punkte numatyta informacija. Prašymas turi būti patvirtintas duomenų subjekto fiziniu arba elektroniniu parašu. Jei duomenų subjektas negali patvirtinti prašymo parašu dėl prašymo perdavimo būdo ar kitų priežasčių, duomenų subjekto tapatybę Bendrovė nustato kitais būdais, pavyzdžiui, duomenų subjektui teikiant prašymą Bendrovei jo žinomu el. pašto adresu. Duomenų subjektas prašyme gali nurodyti, kokiu būdu nori gauti atsakymą į pateiktą prašymą.

12. Duomenų subjekto teisės susipažinti su Bendrovėje tvarkomais jo asmens duomenimis įgyvendinimo tvarką nustato Aprašo XI skyrius.

V. TEISĖS REIKALAUTI IŠTAISYTI ASMENS DUOMENIS APIMTIS

13. Bet kuris Bendrovės duomenų subjektas turi teisę reikalauti, kad Bendrovė nepagrįstai nedelsdama ištaisytų netikslius jo tvarkomus asmens duomenis. Taip pat Bendrovės duomenų subjektas turi teisę reikalauti, kad Bendrovė papildytų neišsamius jo asmens duomenis. Duomenų subjektas negali reikalauti Bendrovės papildyti jau tvarkomus jo asmens duomenis naujais duomenimis, kurie nėra reikalingi Bendrovės tikslams, dėl kurių yra tvarkomi atitinkamo duomenų subjekto asmens duomenys, pasiekti.

14. Duomenų subjektas teikdamas prašymą dėl netikslių asmens duomenų ištaisymo ar neišsamių asmens duomenų papildymo turi nurodyti vardą, pavardę, kurie Bendrovės tvarkomi jo asmens duomenys yra netikslūs arba neišsamūs, ir nurodyti tikslius arba papildomus asmens duomenis. Prašymas turi būti patvirtintas duomenų subjekto fiziniu arba elektroniniu parašu. Jei duomenų subjektas negali patvirtinti prašymo parašu dėl prašymo perdavimo būdo ar kitų priežasčių, duomenų subjekto tapatybę Bendrovė nustato kitais būdais, pavyzdžiui, duomenų subjektui teikiant prašymą Bendrovėi jo žinomu el. pašto adresu. Duomenų subjektas prašyme gali nurodyti, kokiu būdu nori gauti atsakymą į pateiktą prašymą.

15. Duomenų subjekto teisės reikalauti ištaisyti arba papildyti netikslius arba neišsamius jo asmens duomenis įgyvendinimo tvarką nustato Aprašo XI skyrius.

VI. TEISĖS REIKALAUTI IŠTRINTI ASMENS DUOMENIS („TEISĖS BŪTI PAMIRŠTAM“) APIMTIS, SĄLYGOS IR APRIBOJIMAI

16. Bet kuris Bendrovės duomenų subjektas turi teisę reikalauti, kad Bendrovė ištrintų jo tvarkomus asmens duomenis. Šia teise duomenų subjektas gali pasinaudoti tik esant bent vienai iš žemiau nurodytų sąlygų:

16.1. duomenų subjekto tvarkomi asmens duomenys yra nebereikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami ir tvarkomi;

16.2. duomenų subjektas atšaukia sutikimą, kuriuo Bendrovėje yra grindžiamas jo asmens duomenų tvarkymas;

16.3. duomenų subjektas nesutinka su jo asmens duomenų tvarkymu ir yra tenkinamos Aprašo 25 punkte nustatytos sąlygos duomenų subjektui pasinaudoti teise nesutikti su jo asmens duomenų tvarkymu bei nėra Aprašo 26 punkte įtvirtintų šios teisės apribojimų;

16.4. duomenų subjekto asmens duomenų tvarkymui Bendrovė neturi teisėto pagrindo;

16.5. asmens duomenys turi būti ištrinti laikantis Europos Sąjungos arba Lietuvos Respublikos teisėje, kuri taikoma Bendrovei, nustatytos teisinės prievolės.

17. Duomenų subjekto teisė reikalauti Bendrovės ištrinti jo asmens duomenis yra ribojama šiais atvejais:

17.1. asmens duomenų tvarkymas yra būtinas darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą;

17.2. Bendrovė saugo duomenų subjekto asmens duomenis vykdydama savo teisines prievoles, nustatytas LR įstatymais ir kitais teisės aktais;

17.3. Bendrovė siekia pareikšti, vykdyti arba apginti teisinius reikalavimus.

18. Duomenų subjektas teikdamas prašymą ištrinti jo asmens duomenis privalo nurodyti vardą, pavardę, vieną iš Aprašo 16 punkte pateikiamų sąlygų, taip pat kokius konkrečius asmens duomenis Bendrovė privalo ištrinti, arba nurodyti, kad Bendrovė privalo ištrinti visus jo tvarkomus asmens duomenis. Prašymas turi būti patvirtintas duomenų subjekto fiziniu arba elektroniniu parašu. Jei duomenų subjektas negali patvirtinti prašymo parašu dėl prašymo perdavimo būdo ar kitų priežasčių, duomenų subjekto tapatybę Bendrovė nustato kitais būdais, pavyzdžiui, duomenų subjektui teikiant prašymą Bendrovėi jo žinomu el. pašto adresu. Duomenų subjektas prašyme gali nurodyti, kokiu būdu nori gauti atsakymą į pateiktą prašymą.

19. Duomenų subjekto teisės reikalauti ištrinti jo Bendrovės tvarkomus asmens duomenis įgyvendinimo tvarką nustato Aprašo XI skyrius.

VII. TEISĖS APRIBOTI SAVO ASMENS DUOMENŲ TVARKYMĄ APIMTIS, SĄLYGOS IR APRIBOJIMAI

20. Bet kuris Bendrovės duomenų subjektas turi teisę reikalauti, kad Bendrovė apribotų jo asmens duomenų tvarkymą. Šia teise Bendrovės duomenų subjektas gali pasinaudoti tik esant bent vienai iš žemiau nurodytų sąlygų:

20.1. duomenų subjektas pateikia prašymą ištaisyti ar patikslinti netikslius ar neišsamius jo asmens duomenis. Šiuo atveju asmens duomenų tvarkymas apribojamas laikotarpiui kol Bendrovė ištaisys ar patikslins netikslius ar neišsamius duomenų subjekto asmens duomenis;

20.2. duomenų subjekto asmens duomenų tvarkymui Bendrovė neturi teisėto pagrindo ir duomenų subjektas nesutinka, kad Bendrovė ištrintų jo neteisėtai tvarkomus asmens duomenis, ir vietoj to prašo apriboti jų naudojimą;

20.3. duomenų subjekto tvarkomi asmens duomenys yra nebereikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami ir tvarkomi, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti savo teisinius reikalavimus Bendrovei;

20.4. duomenų subjektas pagal Reglamento 21 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar Bendrovės teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

21. Duomenų subjekto prašomas jo tvarkomų asmens duomenų apribojimas nedaro poveikio Bendrovės vykdomam šių duomenų saugojimui.

22. Bendrovei patenkinus duomenų subjekto prašymą apriboti jo asmens duomenų tvarkymą ji nebegali toliau tvarkyti duomenų subjekto apribotų asmens duomenų, išskyrus saugojimą, nebent gauna raštišką duomenų subjekto sutikimą arba siekia pareikšti, vykdyti ar apginti savo teisinius reikalavimus, taip pat kai siekia apsaugoti kito fizinio ar juridinio asmens teises arba gali pagrįsti tolesnius apribotų asmens duomenų tvarkymo veiksmus viešuoju interesu. Apie esamas priežastis, leidžiančias Bendrovei toliau tvarkyti apribotus duomenų subjekto asmens duomenis, Bendrovė duomenų subjektą privalo informuoti ne vėliau kaip per 10 dienų.

23. Duomenų subjektas teikdamas prašymą apriboti jo asmens duomenis privalo nurodyti vardą, pavardę, vieną iš Aprašo 20 punkte nurodytų sąlygų, kokius duomenų subjekto tvarkomus asmens duomenis Bendrovė privalo apriboti, arba nurodyti, kad Bendrovė privalo apriboti visus duomenų subjekto tvarkomus asmens duomenis, ir nustatyti laikotarpį, kuriam apribojamas jo asmens duomenų tvarkymas. Asmens duomenų apribojimo laikotarpis prašyme gali būti apibrėžiamas konkrečiu terminu arba kitais kriterijais. Asmens duomenų apribojimo laikotarpis negali būti ilgesnis nei reikalinga duomenų subjektui pasiekti tikslus, dėl kurių yra prašoma apriboti asmens duomenų tvarkymą. Prašymas turi būti patvirtintas duomenų subjekto fiziniu arba elektroniniu parašu. Jei duomenų subjektas negali patvirtinti prašymo parašu dėl prašymo perdavimo būdo ar kitų priežasčių, duomenų subjekto tapatybę Bendrovė nustato kitais būdais, pavyzdžiui, duomenų subjektui teikiant prašymą Bendrovei jo žinomu el. pašto adresu. Duomenų subjektas prašyme gali nurodyti, kokiu būdu nori gauti atsakymą į pateiktą prašymą.

24. Duomenų subjekto teisės reikalauti apriboti jo Bendrovės tvarkomus asmens duomenis įgyvendinimo tvarką nustato Aprašo XI skyrius.

VIII. TEISĖS NESUTIKTI SU ASMENS DUOMENŲ TVARKYMU APIMTIS, SĄLYGOS IR APRIBOJIMAI

25. Bet kuris Bendrovės duomenų subjektas turi teisę nesutikti su tolesniu Bendrovės atliekamu jo asmens duomenų tvarkymu. Šia teise Bendrovės duomenų subjektas gali pasinaudoti tik esant bent vienai iš žemiau nurodytų sąlygų:

25.1. Bendrovė tvarko duomenų subjekto asmens duomenis Bendrovės ar trečiųjų asmenų teisėto intereso pagrindu. Šios sąlygos pagrindu duomenų subjekto teisė nesutikti su jo asmens duomenų tvarkymu yra ribojama Aprašo 26 punkto nustatyta tvarka;

25.2. duomenų subjekto asmens duomenys yra tvarkomi tiesioginės rinkodaros tikslais. Jei duomenų subjekto asmens duomenys yra tvarkomi ne tik tiesioginės rinkodaros, bet ir kitais tikslais, duomenų subjekto nesutikimas su jo asmens duomenų tvarkymu tiesioginės rinkodaros tikslais nedaro poveikio jo asmens duomenų tvarkymui kitais tikslais.

26. Duomenų subjekto teisė nesutikti su jo asmens duomenų tvarkymu Aprašo 25.1 punkte nustatytos sąlygos pagrindu gali būti apribojama, jei Bendrovė įrodo, kad jos arba trečiųjų asmenų egzistuojantis teisėtas interesas yra viršesnis už duomenų subjekto interesus, teises ir laisves arba, jei Bendrovės tvarkomi duomenų subjekto asmens duomenys, su kurių tolesniu tvarkymu nesutinka duomenų subjektas, yra reikalingi Bendrovei pareikšti, vykdyti arba apginti savo teisinius reikalavimus.

27. Duomenų subjektas teikdamas prašymą dėl nesutikimo su tolesniu jo asmens duomenų tvarkymu privalo nurodyti vardą, pavardę, vieną iš Aprašo 25 punkte nurodytų sąlygų, su kokių asmens duomenų tolesniu tvarkymu duomenų subjektas nesutinka, arba nurodyti, kad duomenų subjektas nesutinka su visų jo asmens duomenų tvarkymu. Prašymas turi būti patvirtintas duomenų subjekto fiziniu arba elektroniniu parašu. Jei duomenų subjektas negali patvirtinti prašymo parašu dėl prašymo perdavimo būdo ar kitų priežasčių, duomenų subjekto tapatybę Bendrovė nustato kitais būdais, pavyzdžiui, duomenų subjektui teikiant prašymą Bendrovei jo žinomu el. pašto adresu. Duomenų subjektas prašyme gali nurodyti, kokiu būdu nori gauti atsakymą į pateiktą prašymą.

28. Duomenų subjekto teisės nesutikti su tolesniu jo asmens duomenų tvarkymu tvarką nustato Aprašo XI skyrius.

IX. TEISĖS Į DUOMENŲ PERKELIAMUMĄ APIMTIS, SĄLYGOS IR APRIBOJIMAI

29. Bet kuris Bendrovės duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Bendrovei, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Taip pat Bendrovės duomenų subjektas turi teisę reikalauti Bendrovės gautus asmens duomenis persiųsti kitam duomenų valdytojui. Jei Bendrovė turi technines galimybes, duomenų subjektas gali reikalauti Bendrovės tiesiogiai persiųsti jo asmens duomenis kitam duomenų valdytojui. Šiomis teisėmis Bendrovės duomenų subjektas gali pasinaudoti tik esant abejoms žemiau nurodytoms sąlygoms:

29.1. duomenų subjekto asmens duomenų tvarkymas yra grindžiamas duomenų subjekto sutikimu arba sutarties, sudarytos tarp duomenų subjekto ir Bendrovės, vykdymu;

29.2. duomenų subjekto asmens duomenys yra tvarkomi automatizuotomis priemonėmis, t. y. skaitmeninėje formoje.

30. Duomenų subjektas teikdamas prašymą gauti su juo susijusius asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu privalo nurodyti vardą, pavardę, kokius asmens duomenis duomenų subjektas siekia gauti arba nurodo, kad duomenų subjektas siekia gauti visus jo Bendrovės tvarkomus asmens duomenis. Jei duomenų subjektas teikia prašymą Bendrovei persiųsti jo asmens duomenis tiesiogiai kitam duomenų valdytojui, papildomai duomenų subjektas prašyme nurodo, kuriam duomenų valdytojui jo nurodomi asmens duomenys turi būti persiunčiami. Prašymas turi būti patvirtintas duomenų subjekto fiziniu arba elektroniniu parašu. Jei duomenų subjektas negali patvirtinti prašymo parašu dėl prašymo perdavimo būdo ar kitų priežasčių, duomenų subjekto tapatybę Bendrovė nustato kitais būdais, pavyzdžiui, duomenų subjektui teikiant prašymą Bendrovei jo žinomu el. pašto adresu. Duomenų subjektas prašyme gali nurodyti, kokiu būdu nori gauti atsakymą į pateiktą prašymą.

31. Duomenų subjekto teisės į perkeliamumą tvarką nustato Aprašo XI skyrius.

X. TEISĖS ATŠAUKTI DUOTĄ SUTIKIMĄ APIMTIS IR SĄLYGOS

32. Jei Bendrovė duomenų subjekto asmens duomenis tvarko sutikimo pagrindu, duomenų subjektas turi teisę bet kada atšaukti duotą savo sutikimą.

33. Duomenų subjekto atšauktas sutikimas tvarkyti jo asmens duomenis nedaro poveikio sutikimo galiojimo laikotarpiu vykdyto duomenų subjekto asmens duomenų tvarkymo teisėtumui.

34. Duomenų subjektas teikdamas prašymą Bendrovei, kuriuo atšaukia savo duotą sutikimą, privalo nurodyti vardą, pavardę, taip pat sutikimo pasirašymo datą, sutikime nurodytą duomenų subjekto asmens duomenų tvarkymo tikslą ar kitą sutikime nurodytą informaciją, kuri padėtų identifikuoti sutikimą, kurį duomenų subjektas nori atšaukti. Prašymas turi būti patvirtintas duomenų subjekto fiziniu arba elektroniniu parašu. Jei duomenų subjektas negali patvirtinti prašymo parašu dėl prašymo perdavimo būdo ar kitų priežasčių, duomenų subjekto tapatybę Bendrovė nustato kitais būdais, pavyzdžiui, duomenų subjektui teikiant prašymą Bendrovei jo žinomu el. pašto adresu. Duomenų subjektas prašyme gali nurodyti, kokiu būdu nori gauti atsakymą į pateiktą prašymą.

35. Duomenų subjekto teisės atšaukti sutikimą tvarką nustato Aprašo XI skyrius.

XI. DUOMENŲ SUBJEKTŲ PRAŠYMŲ TEIKIMO IR NAGRINĖJIMO TVARKA

36. Duomenų subjekto teisės, įtvirtintos Aprašo III skyriuje, įgyvendinamos šio skyriaus nustatyta tvarka ir terminais.

37. Duomenų subjektas siekdamas įgyvendinti vieną ar kelias Aprašo III skyriuje įtvirtintas teises teikia Bendrovei prašymą. Duomenų subjektas gali teikti laisvos formos prašymą arba užpildyti Bendrovės patvirtintą prašymo formą, kurią gali rasti internetiniame puslapyje www.krispo.lt. Duomenų subjekto prašymas privalo atitikti Aprašo IV-X skyrių reikalavimus, keliamus prašymo turiniui:

37.1. prašymo susipažinti su asmens duomenimis turinys privalo atitikti Aprašo 11 punkto reikalavimus;

37.2. prašymo ištaisyti asmens duomenis turinys privalo atitikti Aprašo 14 punkto reikalavimus;

37.3. prašymo ištrinti asmens duomenis turinys privalo atitikti Aprašo 18 punkto reikalavimus;

37.4. prašymo apriboti asmens duomenų tvarkymą turinys privalo atitikti Aprašo 23 punkto reikalavimus;

37.5. prašymo nesutikti su asmens duomenų tvarkymu turinys privalo atitikti Aprašo 27 punkto reikalavimus;

37.6. prašymo dėl teisės į duomenų perkeliamumą turinys privalo atitikti Aprašo 30 punkto reikalavimus;

37.7. prašymo, kuriuo atšaukiamas duotas sutikimas, turinys privalo atitikti Aprašo 34 punkto reikalavimus.

38. Prašymas teikiamas el. paštu buhalterija1@audrineta.lt.

39. Prašymą duomenų subjektas gali pateikti pats arba per atstovą. Duomenų subjekto atstovas teikdamas prašymą duomenų subjekto vardu privalo kartu su prašymu pateikti galiojantį įgaliojimą, atitinkantį LR civilinio kodekso ir kitų LR įstatymų ir teisės aktų reikalavimus.

40. Bendrovė gautą duomenų subjekto prašymą išnagrinėja ne vėliau kaip per 1 mėnesį nuo prašymo gavimo dienos. Bendrovė turi teisę pratęsti duomenų subjekto prašymo nagrinėjimo laikotarpį iki 2 mėnesių, jei dėl svarbių priežasčių negali išnagrinėti gauto prašymo per 1 mėnesio terminą. Apie pratęstą duomenų subjekto prašymo nagrinėjimo laikotarpį Bendrovė privalo informuoti duomenų subjektą ne vėliau kaip per 1 mėnesį nuo prašymo gavimo dienos, pateikdama svarbias priežastis, dėl kurių negali išnagrinėti duomenų subjekto prašymo per 1 mėnesio terminą.

41. Bendrovė atsakymą į duomenų subjekto prašymą duomenų subjektui pateikia tokiu būdu, kokį duomenų subjektas nurodo savo prašyme. Jei prašyme duomenų subjektas nenurodo, kokiu būdu norėtų gauti atsakymą iš Bendrovės arba, jei duomenų subjekto prašyme nurodytu būdu Bendrovės duomenų subjektui atsakymo suteikti negali dėl techninių kliūčių ar kitų priežasčių, duomenų subjektui atsakymas suteikiamas duomenų subjekto el. pašto adresu ar kitais duomenų subjekto tvarkomais kontaktiniais duomenimis.

42. Bendrovė atsakymus į duomenų subjektų prašymus teikia nemokamai. Jei duomenų subjektas teikia akivaizdžiai nepagrįstus arba neproporcingus prašymus, teikiamų prašymų turinys yra pasikartojantis, Bendrovė gali:

42.1. atsisakyti pateikti atsakymą į teikiamą nepagrįstą ar neproporcingą prašymą, taip pat į pasikartojančio turinio prašymą. Šiuo atveju duomenų subjektas apie Bendrovės atsisakymą pateikti atsakymą į jo prašymą yra informuojamas per 1 mėnesį nuo prašymo gavimo dienos;

42.2. pareikalauti prieš pateikiant atsakymą į duomenų subjekto prašymą pagrįsto mokesčio, atitinkančio administracines išlaidas, kurias Bendrovė patirs rinkdama duomenų subjekto prašomą pateikti informaciją, nagrinėdama prašymą ir pateikdama atsakymą į prašymą.

43. Bendrovė privalo patvirtinti duomenų subjekto tapatybę prieš įgyvendindama jo turimas teises. Jei Bendrovė negali patvirtinti duomenų subjekto tapatybės iš pateikto jo prašymo turinio, ji gali prašyti duomenų subjekto pateikti papildomą informaciją ar kitu būdu patvirtinti savo tapatybę per 10 dienų nuo duomenų subjekto prašymo gavimo dienos. Prašydama duomenų subjekto pateikti papildomą informaciją ar kitu būdu patvirtinti savo tapatybę Bendrovė nurodo, kokią papildomą informaciją duomenų subjektas turi pateikti arba kokių kitų priemonių duomenų subjektas turi imtis Bendrovei siekiant tinkamai patvirtinti jo tapatybę, taip pat nurodo protingą papildomos informacijos pateikimo ar kitų priemonių įgyvendinimo terminą. Jei per Bendrovės nustatytą terminą duomenų subjektas nesuteikia Bendrovei papildomos informacijos ar nesiima įgyvendinti Bendrovės nurodytų kitų priemonių, kurios padėtų identifikuoti duomenų subjektą, Bendrovė turi teisę atsisakyti nagrinėti ir pateikti atsakymą į duomenų subjekto prašymą. Apie Bendrovės atsisakymą priimti prašymą ir atsisakymo priežastis duomenų subjektas informuojamas per 10 dienų nuo termino, Bendrovės nustatyto duomenų subjektui dėl papildomos informacijos pateikimo ar kitų priemonių įgyvendinimo, pabaigos.

44. Jei duomenų subjekto atstovas, teikdamas duomenų subjekto prašymą duomenų subjekto vardu, kartu nepateikia įgaliojimo arba jo pateiktas įgaliojimas yra negaliojantis arba neatitinkantis LR civilinio kodekso ir kitų LR įstatymų ir teisės aktų reikalavimų, Bendrovė turi teisę atsisakyti priimti duomenų subjekto atstovo teikiamą prašymą. Apie Bendrovės atsisakymą priimti prašymą bei atsisakymo priežastis duomenų subjekto atstovas yra informuojamas per 10 dienų nuo prašymo gavimo dienos.

45. Duomenų subjektų prašymus nagrinėja, atsakymus į prašymus rengia ir šiame Aprašo skyriuje nustatytais atvejais duomenų subjektus informuoja bei jų prašo papildomos informacijos ar nustato kitų priemonių įgyvendinimą atsakingas Bendrovės darbuotojas.

46. Bendrovė, išnagrinėjusi duomenų subjekto prašymą, pateikia duomenų subjektui atsakymą. Atsakyme nurodoma, ar prašymas buvo patenkintas, ar atmestas. Jei prašymas yra tenkinamas, atsakyme nurodoma, kokia apimtimi prašymas yra tenkinamas ir nustatomas terminas atsižvelgiant į prašymo sudėtingumą, per kurį Bendrovė įsipareigoja įgyvendinti prašyme nurodytus reikalavimus. Jei prašymas yra tenkinamas iš dalies arba atmetamas, atsakyme nurodomos priežastys, dėl kurių prašymas buvo tik iš dalies patenkintas arba atmestas. Jei prašymas buvo patenkintas tik iš dalies arba atmestas, duomenų subjektas turi teisę teikti skundą Bendrovei Aprašo XII skyriuje nustatyta tvarka.

XII. DUOMENŲ SUBJEKTŲ SKUNDŲ TEIKIMO IR NAGRINĖJIMO TVARKA

47. Bendrovė siekdama užtikrinti visapusišką duomenų subjektų teisių įgyvendinimą sudaro duomenų subjektams galimybes teikti skundus dėl iš dalies nepatenkintų ar atmestų prašymų peržiūrėjimo. Duomenų subjektai taip pat gali teikti skundus, jei per 1 mėnesį nuo prašymo Bendrovei pateikimo dienos Bendrovė nesiima jokių veiksmų dėl pateikto duomenų subjekto prašymo, t. y., Aprašo XI skyriuje nustatyta tvarka nepateikia atsakymo, neinformuoja duomenų subjekto apie atsisakymą pateikti atsakymą ir nevykdo kitų Aprašo XI skyriuje nustatytų veiksmų.

48. Skunde privalo būti nurodoma viena iš priežasčių, įtvirtintų Aprašo 47 punkte, dėl kurios teikiamas skundas. Jei skundas teikiamas dėl to, kad Bendrovė duomenų subjekto prašymą patenkino tik iš dalies arba atmetė, skunde turi būti nurodomos priežastys, dėl kurių duomenų subjektas mano, kad jo skundas turi būti tenkinamas visa apimtimi. Prie skundo pridedama duomenų subjekto patenkinto tik iš dalies, atmesto arba neišnagrinėto prašymo kopija.

49. Skundas teikiamas el. paštu buhalterija1@audrineta.lt.

50. Skundą duomenų subjektas gali pateikti pats arba per atstovą. Duomenų subjekto atstovas teikdamas skundą duomenų subjekto vardu privalo kartu su skundu pateikti galiojantį įgaliojimą, atitinkantį LR civilinio kodekso ir kitų LR įstatymų ir teisės aktų reikalavimus.

51. Duomenų subjekto skundo nagrinėjimo terminai sutampa su duomenų subjekto prašymo nagrinėjimo terminais, įtvirtintais Aprašo 40 punkte.

52. Atsakymo į duomenų subjekto skundą pateikimo būdai sutampa su atsakymo į duomenų subjekto prašymą pateikimo būdais, numatytais Aprašo 41 punkte.

53. Bendrovė atsakymus į duomenų subjektų skundus teikia neatlygintinai.

54. Bendrovė atsisako nagrinėti duomenų subjekto skundą, jei yra išnagrinėjusi ir pateikusi atsakymą į duomenų subjekto skundą dėl tų pačių priežasčių ir dėl to paties duomenų subjekto prašymo. Apie Bendrovės atsisakymą nagrinėti pakartotinį duomenų subjekto skundą ir atsisakymo priežastis duomenų subjektas informuojamas per 10 dienų nuo pakartotinio skundo gavimo dienos.

55. Jei duomenų subjekto atstovas, teikdamas duomenų subjekto skundą duomenų subjekto vardu, kartu nepateikia įgaliojimo arba jo pateiktas įgaliojimas yra negaliojantis arba neatitinkantis LR civilinio kodekso ir kitų LR įstatymų ir teisės aktų reikalavimų, Bendrovė turi teisę atsisakyti priimti duomenų subjekto atstovo pateiktą skundą. Apie Bendrovės atsisakymą priimti skundą ir atsisakymo priežastis duomenų subjekto atstovas yra informuojamas per 10 dienų nuo skundo gavimo dienos.

56. Duomenų subjektų skundus nagrinėja ir atsakymus į skundus rengia atsakingas Bendrovės darbuotojas. Skundo negali nagrinėti tas pats darbuotojas, kuris nagrinėjo duomenų subjekto prašymą, kurio pagrindu duomenų subjektas teikia skundą.

57. Bendrovė, išnagrinėjusi duomenų subjekto skundą, pateikia duomenų subjektui atsakymą. Atsakyme nurodoma, ar skundas buvo patenkintas, ar atmestas. Jei skundas yra pagrįstas ir tenkintinas, peržiūrimas duomenų subjekto teiktas prašymas ir atsakyme nurodoma, kokia apimtimi prašymas yra tenkinamas ir nustatomas terminas atsižvelgiant į prašymo sudėtingumą, per kurį Bendrovė įsipareigoja įgyvendinti prašyme nurodytus reikalavimus. Jei skundas yra atmetamas, atsakyme nurodomos skundo atmetimo priežastys.

XIII. BAIGIAMOSIOS NUOSTATOS

58. Visi Bendrovės duomenų subjektai, įgyvendindami savo teises, įtvirtintas Reglamento 3 skyriuje, ir darbuotojai, nagrinėjantys duomenų subjektų prašymus ir skundus, privalo laikytis šiame Apraše nustatytos duomenų subjektų teisių įgyvendinimo tvarkos.

59. Duomenų subjektų teisių įgyvendinimo tvarkos aprašas Bendrovės duomenų subjektams yra prieinamas internetiniame puslapyje www.krispo.lt.

__________________________________