UAB „ZIP TRAVEL“ ASMENS DUOMENŲ TVARKYMO IR NAUDOJIMO TAISYKLĖS
I. BENDROSIOS NUOSTATOS
Duomenų valdytojas - reiškia UAB „ZIP travel", įmonės kodas UAB „ZIP travel“, 135474614, Kęstučio g. 57-1, Kaunas, Lietuvos Respublika internetinio puslapio adresas: http:/www.ziptravel.lt/ /duomenys apie kurią kaupiami ir saugomi Lietuvos Respublikos juridinių asmenų registre.
Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar duomenų tvarkytojas (darbuotojas, klientas ir pan.).
Asmens duomenų tvarkymas - bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
Duomenų valdytojas - fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise.
Duomenų tvarkytojas - fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
Duomenų gavėjas - fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne. Valdžios institucijos, kurios pagal valstybės narės teisės aktus gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių.
Trečioji šalis - fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
Įgalioti asmenys - duomenų valdytojo darbuotojai (t. y. asmenys tarp kurių ir duomenų valdytojo yra sudarytos darbo sutartys) ir/arba kiti fiziniai asmenys, kurie sutarčių ar kitu pagrindu turi teisę tvarkyti duomenų valdytojo tvarkomus asmens duomenis.
Priežiūros institucija - Valstybinė duomenų apsaugos inspekcija (VDAI).
Techninės ir organizacinės saugumo priemonės - tai priemonės, kuriomis siekiama apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač tais atvejais, kai tvarkymas susijęs su duomenų perdavimu tinkle ir visos kitos neteisėtos tvarkymo formos.
Asmens duomenų tvarkymo registravimo žurnalas - įmonės įgalioto (-ų) asmens (-ų) pildomas žurnalas, skirtas Įmonei pateiktų skundų, prašymų ir pan., susijusių su asmens duomenų tvarkymu registracijai ir administravimui. Duomenų subjektų prašymus dėl tvarkomų asmens duomenų priima ir Įmonės Asmens duomenų tvarkymo registravimo žurnale užregistruoja Įmonės vadovo įgaliotas darbuotojas(-ai).
II. ASMENS DUOMENŲ TVARKYMO PRINCIPAI
Duomenų valdytojo darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis šių asmens duomenų tvarkymo ir apsaugos principų:
1. Asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis; Įmonės darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašyme arba Įmonės vadovo pavedimu ir tik teisės aktų nustatyta tvarka. Įmonės darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis;
2. Asmens duomenis tvarkyti sąžiningai ir skaidriai; Įmonės darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas ir tik teisės aktų nustatyta tvarka. Įmonės darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis;
3. Užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti, netikslius ar neišsamius asmens duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti; Taip pat asmens duomenys tikslinami ir atnaujinami, kai tik duomenų subjektas praneša apie jų pasikeitimą;
4. Renkant ir tvarkant asmens duomenis laikytis tikslingumo, proporcingumo principų. Asmens duomenys turi būti tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti. Nekaupti ir netvarkyti perteklinių duomenų, t. y. nereikalauti iš klientų, kitų interesantų pateikti tų duomenų, kurie nėra reikalingi nustatytiems tikslams;
5. Asmens duomenis saugoti teisės aktų ir šių Taisyklių nustatyta tvarka, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi; Asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas). Įmonės informacinėse sistemose esantys asmens duomenys saugomi tiek laiko, kiek tai leidžia šių sistemų nuostatai ir kiti teisės aktai;
6. Užtikrinti, kad visa reikalinga informacija Duomenų subjektui būtų pateikiama aiškiai ir suprantamai
III. ASMENS DUOMENŲ TVARKYMO TIKSLAI
Kelionių organizavimo paslaugos – duomenys gaunami iš duomenų subjekto arba iš juridinio asmens. Šiuos duomenis sudaro: Vardas (-ai), pavardės (-ės), gimimo data, amžius, , lytis gyvenamosios vietos adresas, telefono Nr., elektroninio pašto adresas, skype adresas ir t.t.
Tiesioginė rinkodara – duomenys gaunami iš klientų, užsisakiusių naujienlaiškius (elektroninis
adresas) Duomenų subjekto pateikti duomenys, kurie naudojami tiesioginės rinkodaros tikslais padeda užtikrinti nuolatinį Įmonės internetinio puslapio bei Įmonės paslaugų tobulinimą bei vystymą ir suteikia galimybę pateikti kuo geresnius paslaugų pasiūlymus.
Duomenų subjektas turi teisę bet kuriuo momentu, nenurodydamas savo nesutikimo motyvų, nesutikti arba atsisakyti, kad jo asmens duomenis Įmonė tvarkytų tiesioginės rinkodaros tikslu. Duomenų subjektas savo teisę atsisakyti, kad jo duomenys būtų tvarkomi tiesioginės rinkodaros tikslu, gali įgyvendinti Įmonę informuodamas paštu, elektroninio ryšio priemonėmis ar kitu Įmonei ir duomenų subjektui priimtinu būdu, leidžiančiu Įmonei tinkamai identifikuoti klientą.
IV. DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA
Duomenų subjektas turi teisę:
žinoti (būti informuotas) apie savo asmens duomenų tvarkymą;
susipažinti su savo asmeniniais duomenimis ir kaip jie yra tvarkomi;
nesutikti, kad būtų tvarkomi jo asmens duomenys;
reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant ADTAĮ , BDAR ir kitų įstatymų nuostatų.
reikalauti ištrinti duomenis („Teisė būti pamirštam“);
gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:
duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi;
duomenys tvarkomi automatizuotomis priemonėmis.
Duomenų subjektų teisių įgyvendinimo tvarka:
Duomenų subjektas, pateikęs duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius vienerius metus, taip pat gauti dokumentų, kuriame yra jų asmens duomenys, kopiją. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta notaro patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą. Tuo atveju, jeigu duomenų subjekto teisė susipažinti su savo asmens duomenimis, negali būti įgyvendinta per duomenų subjekto atstovą, nepateikus duomenų subjekto asmens tapatybę patvirtinančio dokumento ar jo patvirtintos kopijos, duomenų subjekto atstovas apie tai turi būti informuojamas ne vėliau kaip per 30 (trisdešimt) kalendorinių dienų nuo kreipimosi dienos. Jei duomenų subjekto atstovo prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu.
Duomenų subjektui atsakymas privalo būti pateiktas ne vėliau kaip per 30 (trisdešimt) kalendorinių dienų nuo prašymo gavimo dienos. Jei duomenis teikti Duomenų subjektui atsisakoma, jam turi būti pateiktas motyvuotas ir pagrįstas atsakymas dėl jo prašymo nevykdymo.
Įmonė duomenis Duomenų subjektui teikia raštu ir kartą per kalendorinius metus neatlygintinai. Tam tikrais atvejais (kai Duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai pakartotinai teikia prašymus pateikti
Duomenų subjekto teisė nesutikti su asmens duomenų tvarkymu įgyvendinama:
kai asmens duomenys yra teikiami ar atliekamas kitas asmens duomenų tvarkymo veiksmas, pavyzdžiui, naudojimas, kai įgyvendinami oficialūs įgaliojimai, įstatymais ir kitais teisės aktais suteikti valstybės bei savivaldybių institucijoms, įstaigoms ir įmonėms arba trečiajam asmeniui, kuriam teikiami asmens duomenys; kai reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni. Duomenų subjekto teisė nesutikti su asmens duomenų teikimu įgyvendinama prieš atliekant asmens duomenų tvarkymo veiksmus, duomenų subjektą raštu informuojant: apie ketinamą atlikti asmens duomenų tvarkymo veiksmą (teikimą, naudojimą ir pan.); nurodant, jog duomenų subjektas turi teisę nesutikti su tokiu duomenų tvarkymu; paaiškinant, kad teisiškai pagrįstas nesutikimas turi būti išreiškiamas pateikiant rašytinį pranešimą, kuris duomenų valdytojui gali būti pateikiamas asmeniškai, paštu ar elektroninių ryšių priemonėmis; nustatant protingą terminą, per kurį duomenų subjektas turi teisę išreikšti savo valią. Jeigu duomenų subjektas per nustatytą terminą išreiškia teisiškai pagrįstą nesutikimą, duomenų valdytojas neatlieka asmens duomenų tvarkymo veiksmų kai įgyvendinami oficialūs įgaliojimai, įstatymais ir kitais teisės aktais suteikti valstybės bei savivaldybių institucijoms, įstaigoms ir įmonėms arba trečiajam asmeniui, kuriam teikiami asmens duomenys; kai reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni atvejais ir duomenų subjekto prašymu praneša jam apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus, nurodant atsisakymo motyvus.
Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai:
Duomenų subjektas ar jo įgaliotas atstovas kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 (penkias) darbo dienas, neatlygintinai patikrina duomenų subjekto asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą; Duomenų valdytojas, duomenų subjekto ar jo įgalioto atstovo prašymu sustabdęs duomenų subjekto asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui).
Duomenų valdytojas privalo nedelsdamas, ne vėliau kaip per 5 (penkias) darbo dienas informuoti duomenų gavėjus apie Duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama priežiūros institucijai.
V. TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS
Siekiant apsaugoti Duomenų subjekto duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios organizacinės ir techninės priemonės:
Infrastruktūrinės priemonės: tinkamas patalpų išdėstymas, tinkamas techninės įrangos išdėstymas ir priežiūra, griežtas priešgaisrinės apsaugos tarnybų nustatytų normų laikymasis ir kt.;
Administracinės priemonės: tinkamas darbo organizavimas, informacinių sistemų priežiūra;
Telekomunikacinės priemonės: tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kt.
Darbuotojai laikosi konfidencialumo principo ir privalo laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenis galioja perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.
Darbuotojai, kurių kompiuteriuose saugomi klientų, kitų interesantų duomenys arba iš kurių kompiuterių galima patekti į Įmonės informacines sistemas, kuriose yra saugomi klientų, kitų interesantų duomenys, savo kompiuteriuose naudoja slaptažodžius.
VI. KONFIDENCIALUMO IR SAUGUMO NUOSTATOS
Įmonė suteikia įgaliojimus ir prieigos teises tvarkyti asmens duomenis tiems Įmonės darbuotojams, kurie vykdydami savo funkcijas turi tokius duomenis tvarkyti. Įgaliotas darbuotojas turi teisę tvarkyti asmens duomenis nuo darbo santykių pradžios iki jų pabaigos, išskyrus atvejus, kai darbuotojas nustoja tvarkyti asmens duomenis, susijusius su tam tikrų funkcijų vykdymu, pasikeitus jo pareigybės aprašymui arba nustojęs vykdyti tam tikras funkcijas – tokiais atvejais įgaliojimo ir prieigos teisės tvarkyti asmens duomenis darbuotojas netenka.
Įmonės vadovo įsakymu paskirti tvarkyti asmens duomenis, įgaliotieji darbuotojai, tvarkantys asmens duomenis privalo pasirašyti Darbuotojo įsipareigojimą saugoti asmens duomenis.
Darbuotojas turi teisę tvarkyti asmens duomenis tik tokiais tikslais, kurie buvo nurodyti pildant Darbuotojo įsipareigojimą saugoti asmens duomenis ir kurie neprieštarauja jo pareigybės aprašyme nurodytoms funkcijoms.
Darbuotojas netenka prieigos prie dokumentų, saugomų Įmonėje, pasikeitus jo pareigybės aprašymui arba nustojęs vykdyti funkcijas, kurias vykdant atitinkamais tikslais neautomatiniu būdu tvarkomos asmenų duomenų susistemintos rinkmenos.
VII. INFORMACINIŲ IR KOMUNIKACINIŲ TECHNOLOGIJŲ NAUDOJIMO BEI DARBUOTOJŲ STEBĖSENOS IR KONTROLĖS DARBO VIETOJE TVARKA
Įmonei priklausančios Informacinės ir komunikacinės technologijos, t. y. kompiuteriai, mobilieji telefonai, prieiga prie interneto, elektroninis paštas, spausdintuvai, duomenų laikmenos ir kiti prietaisai, – yra skirtos išimtinai darbuotojų darbo funkcijoms vykdyti.
Visuose kompiuteriuose, kurie jungiami į kompiuterinį tinklą, turi nuolat veikti antivirusinė programa su naujausia virusų aprašymų duomenų baze.
Įmonei priklausančiuose kompiuteriuose, mobiliuosiuose telefonuose ir kituose prietaisuose esanti visa informacija ir programinė įranga gali būti bet kada patikrinta ar peržiūrėta.
Darbuotojas neturi teisės savavališkai keisti jam priskirtos kompiuterinės įrangos (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatų spausdinimo valdikliai, klaviatūros, pelės, kolonėlės, ausinės, vaizdo kameros bei fotokameros, multimedijos projektoriai ir pan.) ir įdiegtos programinės įrangos.
Organizuojant stebėseną laikomasi proporcingumo ir kitų šiame skyriuje nurodytų principų ir stebėsenos priemonės taikomos tik tais atvejais, kai iškeltų tikslų kitomis, mažiau darbuotojų privatumą ribojančiomis priemonėmis, pasiekti neįmanoma arba, įmonės vertinimu, yra nepraktiška.
Siekiant aukščiau nurodytų tikslų, Įmonėje naudojamos specialios programos, kuriomis yra automatiniu būdu išsaugoma informacija apie darbuotojų interneto naršymo istoriją, kuri yra saugoma 48 (keturiasdešimt aštuonis) mėnesius.
VII. INFORMACINIŲ IR KOMUNIKACINIŲ TECHNOLOGIJŲ NAUDOJIMO BEI DARBUOTOJŲ STEBĖSENOS IR KONTROLĖS DARBO VIETOJE TVARKA
Įmonei priklausančios Informacinės ir komunikacinės technologijos, t. y. kompiuteriai, mobilieji telefonai, prieiga prie interneto, elektroninis paštas, spausdintuvai, duomenų laikmenos ir kiti prietaisai, – yra skirtos išimtinai darbuotojų darbo funkcijoms vykdyti.
Visuose kompiuteriuose, kurie jungiami į kompiuterinį tinklą, turi nuolat veikti antivirusinė programa su naujausia virusų aprašymų duomenų baze.
Įmonei priklausančiuose kompiuteriuose, mobiliuosiuose telefonuose ir kituose prietaisuose esanti visa informacija ir programinė įranga gali būti bet kada patikrinta ar peržiūrėta.
Darbuotojas neturi teisės savavališkai keisti jam priskirtos kompiuterinės įrangos (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatų spausdinimo valdikliai, klaviatūros, pelės, kolonėlės, ausinės, vaizdo kameros bei fotokameros, multimedijos projektoriai ir pan.) ir įdiegtos programinės įrangos.
Organizuojant stebėseną laikomasi proporcingumo ir kitų šiame skyriuje nurodytų principų ir stebėsenos priemonės taikomos tik tais atvejais, kai iškeltų tikslų kitomis, mažiau darbuotojų privatumą ribojančiomis priemonėmis, pasiekti neįmanoma arba, įmonės vertinimu, yra nepraktiška.
Siekiant aukščiau nurodytų tikslų, Įmonėje naudojamos specialios programos, kuriomis yra automatiniu būdu išsaugoma informacija apie darbuotojų interneto naršymo istoriją, kuri yra saugoma 48 (keturiasdešimt aštuonis) mėnesius.
VIII. BAIGIAMOSIOS NUOSTATOS
Darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų ADTAĮ ir (ar) BDAR bei šiose Taisyklėse. Darbuotojai pažeidę Taisykles, ADTAĮ ir (ar) BDAR atsako teisės aktų nustatyta tvarka.
Taisyklės reikalui esant ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, atnaujinamos.
