Asmens duomenų tvarkymo taisyklės

BENDROSIOS NUOSTATOS

1. Organizatorius „Tantra Lietuva“ (toliau – Įstaiga) Asmens duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti klientų asmens duomenų rinkimo, tvarkymo ir saugojimo principus, tikslus, priemones ir tvarką, nustatyti klientų teisių įgyvendinimo ir duomenų apsaugos technines bei organizacines priemones bei susipažinimo su saugomais duomenimis tvarką.
2. Taisyklės parengtos vadovaujantis Lietuvos Respublikos asmens duomenų apsaugos įstatymu (toliau – ADTAĮ), 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB 2016/679) (toliau – BDAR) ir jo įgyvendinamaisiais teisės aktais, Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, kitais įstatymais bei teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, apsaugą, laikymąsi ir įgyvendinimą.
3. Įstaigos darbuotojai, įgalioti tvarkyti klientų asmens duomenis, privalo laikytis šių Taisyklių ir būti pasirašytinai su jomis supažindinti. Įstaigos darbuotojai, atlikdami savo pareigas ir tvarkydami klientų asmens duomenis, privalo laikytis konfidencialumo ir saugumo reikalavimų, nurodytų šiose Taisyklėse.
4. Taisyklėse vartojamos pagrindinės sąvokos:
4.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas) tiesiogiai arba netiesiogiai, visų pirma, pagal identifikatorių, pavyzdžiui vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
4.2. Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar duomenų tvarkytojas.
4.3. Duomenų valdytojas ir tvarkytojas – „Tantra Lietuva“, el. p. tantralietuva@gmail.com (toliau – Duomenų valdytojas).
4.4. Duomenų gavėjai – juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne, išskyrus valdžios institucijas, kurios gali gauti asmens duomenis vykdant konkretų tyrimą pagal valstybės narės teisę, kai tvarkydamos tuos duomenis tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.
4.5. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
5. Kitos Taisyklėse vartojamos sąvokos yra suprantamos taip kaip yra apibrėžtos ADTAĮ, BDAR, Darbo kodekse ir kituose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose.

II SKYRIUS
SPECIALIOSIOS NUOSTATOS

6. Klientų asmens duomenys tvarkomi vadovaujantis šiais principais:
6.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;
6.2. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;
6.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas;
6.4. asmens duomenys turi būti tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;
6.5. renkant ir tvarkant asmens duomenis laikomasi tikslingumo ir proporcingumo principų, nekaupiami ir netvarkomi pertekliniai duomenys;
6.6. asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
6.7. asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines, fizines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
6.8. asmens duomenys tvarkomi pagal ADTAĮ, BDAR ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.
7. Klientų asmens duomenys Įstaigoje tvarkomi šiais tikslais:
7.1. sutarčių su klientais apskaitos tikslu (Taisyklių 1 priedas);
7.2. pažymų išdavimo tikslu (Taisyklių 2 priedas);
7.3. lėšų už suteiktas paslaugas apskaičiavimo tikslu (Taisyklių 3 priedas);
7.4. vidaus administravimo tikslu (Taisyklių 4 priedas);
8. Klientų asmens duomenys saugomi ne ilgiau nei to reikalauja duomenų tvarkymo tikslai.
9. Klientų asmens duomenis tvarko tik tie asmenys, kuriems jie yra būtini funkcijų vykdymui. Darbuotojai duomenis tvarko šių Taisyklių 7.1. – 7.4. punktų apimtimi nustatytu tikslu.

III SKYRIUS
DUOMENŲ VALDYTOJO TEISĖS IR PAREIGOS

10. Duomenų valdytojas turi šias teises:
10.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;
10.2. paskirti už asmens duomenų apsaugą atsakingą asmenį;
10.3. parinkti ir įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;
10.4. spręsti dėl tvarkomų asmens duomenų teikimo;
10.5. tvarkyti asmens duomenis.
11. Duomenų valdytojas turi šias pareigas:
11.1. užtikrinti, kad būtų laikomasi ADTAĮ, BDAR ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;
11.2. įgyvendinti duomenų subjekto teises šiose Taisyklėse nustatyta tvarka;
11.3 užtikrinti asmens duomenų saugumą įgyvendinant technines, organizacines ir fizines asmens duomenų saugumo priemones;
11.4. tvarkyti duomenų tvarkymo veiklos įrašus ir užtikrinti duomenų veiklos įrašų pakeitimų atsekamumą;
11.5. vertinti poveikį duomenų apsaugai;
11.6. konsultuotis su Valstybine duomenų apsaugos inspekcija;
11.7. pranešti apie duomenų saugumo pažeidimą.

IV SKYRIUS
ASMENS DUOMENŲ SUBJEKTŲ SUTIKIMAS TVARKYTI JŲ ASMENS DUOMENIS

12. Asmens duomenų subjektai sutikimą dėl asmens duomenų tvarkymo išreiškia raštiškai, pagal nustatytą formą (5 priedas), patvirtindami, jog sutinka, kad asmens duomenys Įstaigoje būtų tvarkomi šiose Taisyklėse nurodytais tikslais.
13. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą, jeigu jo asmens duomenys tvarkomi neteisėtai. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą.

V SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS

14. Direktoriaus arba jo įsakymu paskirtas Įstaigos darbuotojas užtikrina, kad duomenų subjekto teisės būtų tinkamai įgyvendintos ir visa reikalinga informacija duomenų subjektui būtų pateikiama aiškiai, suprantamai bei priimtina forma.
15. Duomenų subjekto teisės ir jų įgyvendinimo būdai:
15.1. žinoti (būti informuotam) apie savo asmens duomenų tvarkymą:
15.1.1. Įstaiga, iš duomenų subjekto tiesiogiai rinkdama asmens duomenis, suteikia tokią informaciją: savo rekvizitus, nurodo, kokiais tikslais tvarkomi asmens duomenys, kam ir kokiais tikslais jie teikiami, kokius asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės;
15.1.2. Įstaiga duomenų subjektui suteikia informaciją apie teisę susipažinti su Įstaigoje tvarkomais asmens duomenimis, teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius asmens duomenis bei teisę nesutikti, kad būtų tvarkomi tam tikri neprivalomi duomenų subjekto asmens duomenys.
16.2. susipažinti su asmens duomenimis ir kaip jie yra tvarkomi:
16.2.1. jei kyla klausimų dėl asmens duomenų tvarkymo, jis turi teisę kreiptis į Įstaigos administraciją ir, pateikę asmens tapatybę patvirtinantį dokumentą bei rašytinį prašymą, gauti informaciją, iš kokių šaltinių ir kokie duomenų subjektų asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kam teikiami;
16.2.2. direktoriaus ar jo įsakymu paskirtas Įstaigos darbuotojas duomenų subjektui parengia atsakymą ir pateikia prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu.
16.3. reikalauti ištaisyti, sunaikinti asmens duomenis arba sustabdyti asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant ADTAĮ ir (arba) BDAR nuostatų. Jei duomenų subjektas, susipažinęs su duomenimis nustato, kad asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir, pateikdamas asmens tapatybę patvirtinantį dokumentą, kreipiasi į Įstaigą, direktoriaus ar jo įsakymu paskirtas Įstaigos darbuotojas privalo nedelsiant asmens duomenis patikrinti ir duomenų subjekto prašymu (rašytine, žodine ar kita forma) nedelsiant ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir/ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;
16.4. duomenų subjektų teisė nesutikti, kad jų asmens duomenys būtų tvarkomi:
16.4.1. duomenų subjektai turi teisę nesutikti (raštu, žodžiu ar kitokia forma), kad būtų tvarkomi tam tikri neprivalomi asmens duomenys. Toks nesutikimas gali būti pareikštas duomenų rinkimo metu neužpildant tam tikrų prašymo ar sutarties, anketos vietų (eilučių) arba vėliau gavus bet kokios formos duomenų subjekto prašymą nutraukti tam tikrų neprivalomų asmens duomenų tvarkymą. Kad ši teisė būtų įgyvendinama, duomenų subjektui privalo būti suteikta informacija, kurie jo asmens duomenys yra neprivalomi tvarkyti;
16.4.2. gavus duomenų subjekto prašymą nutraukti tam tikrų neprivalomų asmens duomenų tvarkymą, Įstaiga nedelsiant ir nemokamai nutraukia neprivalomų asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoja duomenų gavėjus.

VI  SKYRIUS
KONFIDENCIALUMO IR SAUGUMO NUOSTATOS

17. Įstaiga užtikrina jai patikėtos informacijos saugumą ir konfidencialumą, neperduoda ir neatskleidžia su duomenų subjektais susijusios informacijos bei neperduoda ir neatskleidžia duomenų tretiesiems asmenims.
18. Direktorius ir jo įsakymais paskirti Įstaigos darbuotojai tvarkyti klientų asmens duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja taip pat ir perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams. Įstaigos darbuotojai pasirašo Pasižadėjimą saugoti asmens duomenų paslaptį (Taisyklių 6 priedas).
19. Direktorius arba jo įsakymu paskirtas atsakingas Įstaigos darbuotojas su šiomis Taisyklėmis supažindina pasirašytinai duomenų subjektus klientus, gauna (įformina) duomenų subjektų raštišką sutikimą, įskaitant elektroninėmis priemonėmis, kad duomenų subjektas sutinka, jog Įstaiga tvarkytų jų asmens duomenis ir užtikrina šių Taisyklių įgyvendinimą.
20. Darbuotojai gali susipažinti bei naudotis tik tais dokumentais ir duomenų rinkmenomis, su kuriais susipažinti ir juos tvarkyti jie buvo įgalioti.
21. Darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam klientų asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į Įstaigos direktorių, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
22. Darbuotojai, kurie automatiniu būdu tvarko klientų asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, naudoja slaptažodžius. Slaptažodžiai keičiami periodiškai, ne rečiau kaip kartą per tris mėnesius, o taip pat susidarius tam tikroms aplinkybėms (pvz., pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
23. Už kompiuterių priežiūrą atsakingas darbuotojas privalo užtikrinti, kad asmens duomenų rinkmenos nebūtų „matomos“ (shared) iš kitų kompiuterių, o antivirusinės programos atnaujinamos ne rečiau kaip kartą per mėnesį.

VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
24. Taisyklės atnaujinamos (peržiūrimos, keičiamas, papildomas, rengiamos naujos)  pasikeitus teisės aktams, kurie reglamentuoja asmens duomenų tvarkymą.
25. Darbuotojai atsakingi už šiose Taisyklėse nurodytų asmens duomenų subjektų (klientų) asmens duomenų tvarkymą arba darbuotojai, kurių atliekamos funkcijos sudaro galimybę sužinoti klientų asmens duomenis, privalo vykdyti šiose taisyklėse nustatytus asmens duomenų tvarkymo reikalavimus.
29.Taisyklės skelbiamos Įstaigos interneto svetainėje.
30.Už šių Taisyklių pažeidimą darbuotojams, atsakingiems už klientų asmens duomenų tvarkymą, taikoma Lietuvos Respublikos įstatymuose numatyta atsakomybė.