top of page

Politika – GDPR duomenų apsaugos politika

 

Privalote perskaityti šią politiką, nes joje pateikiama svarbi informacija apie:

 

  • duomenų apsaugos principus, kurių įmonė privalo laikytis;

  • ką reiškia asmeninė informacija (arba duomenys) ir jautri asmeninė informacija (arba duomenys);

  • kaip mes renkame, naudojame ir (galiausiai) ištriname asmeninę informaciją ir jautrią asmeninę informaciją pagal duomenų apsaugos principus;

  • kur galima rasti išsamesnės privatumo informacijos, pvz., apie asmeninę informaciją, kurią renkame ir naudojame apie jus, kaip ji naudojama, saugoma ir perduodama, kokiais tikslais, kokių veiksmų imtasi, kad ši informacija būtų saugi ir kiek laiko ji saugoma;

  • jūsų teisės ir pareigos, susijusios su duomenų apsauga; ir

  • šios politikos nesilaikymo pasekmės.

 

  1. Įvadas

 

  1. Įmonė renka, saugo ir naudoja asmeninę informaciją (taip pat vadinamą duomenimis) apie kandidatus į darbą ir esamus bei buvusius darbuotojus, laikinuosius ir agentūrų darbuotojus, rangovus, praktikantus, savanorius ir pameistrius tam tikrais teisėtais tikslais, kaip nurodyta Įmonės duomenų apsaugos privatumo pranešimai, susiję su įdarbinimu ir įdarbinimu.

 

  1. Ši politika nustato, kaip laikomės duomenų apsaugos įsipareigojimų ir siekiame apsaugoti asmeninę informaciją, susijusią su mūsų darbuotojais. Jos tikslas taip pat yra užtikrinti, kad darbuotojai suprastų ir laikytųsi taisyklių, reglamentuojančių asmeninės informacijos, su kuria jie gali turėti savo darbą, rinkimą, naudojimą ir ištrynimą.

 

  1. Esame įsipareigoję laikytis savo duomenų apsaugos įsipareigojimų ir glaustai, aiškiai bei skaidriai nurodyti, kaip gauname ir naudojame asmeninę informaciją, susijusią su mūsų darbuotojais, ir kaip (ir kada) ištriname šią informaciją, kai jos nebereikia.

 

  1. Įmonės duomenų apsaugos pareigūnas yra atsakingas už įmonės ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos įsipareigojimų, taip pat už šių įsipareigojimų ir įmonės politikos laikymosi stebėseną. Jei turite klausimų ar pastabų dėl šios politikos turinio arba jums reikia papildomos informacijos, susisiekite su duomenų apsaugos pareigūnu el.dpo@confirmsend.co.

 

  1. Taikymo sritis

 

  1. Ši politika taikoma kandidatų į darbą ir esamų bei buvusių darbuotojų, įskaitant darbuotojus, laikinuosius ir agentūrų darbuotojus, praktikantus, savanorius ir pameistrius, asmeninei informacijai.

 

  1. Darbuotojai turėtų susipažinti su įmonės duomenų apsaugos privatumo pranešimu ir, jei reikia, į kitas susijusias politikos kryptis, įskaitant susijusias su internetu, el. paštu ir ryšiais, stebėjimu, socialine žiniasklaida, informacijos saugumu, duomenų saugojimu ir nuosprendžių registro informacija, kurioje pateikiama daugiau informacijos apie asmeninės informacijos apsauga tokiais atvejais.

 

  1. Mes reguliariai peržiūrėsime ir atnaujinsime šią politiką, atsižvelgdami į savo duomenų apsaugos įsipareigojimus. Tai nėra jokio darbuotojo darbo sutarties dalis ir mes galime ją retkarčiais keisti, atnaujinti ar papildyti. Mes išplatinsime bet kokią naują ar pakeistą politiką darbuotojams prieš ją priimdami.

 

  1. Apibrėžimai

 

  1. Informacija apie teistumą

reiškia asmeninę informaciją, susijusią su apkaltinamaisiais nuosprendžiais ir nusikaltimais, įtarimais, procesais ir susijusiomis saugumo priemonėmis;

 

  1. Duomenų pažeidimas

reiškia saugumo pažeidimą, dėl kurio netyčia arba neteisėtai sunaikinama, prarandama, pakeičiama, be leidimo atskleidžiama asmeninė informacija arba prie jos gaunama prieiga;

 

  1. Duomenų subjektas

reiškia asmenį, su kuriuo susijusi asmeninė informacija;

 

  1. Asmeninė informacija

(kartais vadinami asmens duomenimis) – informacija, susijusi su asmeniu, kurį galima (tiesiogiai arba netiesiogiai) atpažinti iš tos informacijos;

 

  1. Apdorojant informaciją

reiškia informacijos gavimą, įrašymą, tvarkymą, saugojimą, keitimą, gavimą, atskleidimą ir (arba) sunaikinimą arba bet kokį su ja naudojimu ar veikimu;

 

  1. Pseudonimas

– procesas, kurio metu asmens informacija tvarkoma taip, kad jos negalima panaudoti asmens tapatybei nustatyti nenaudojant papildomos informacijos, kuri saugoma atskirai ir taikant technines bei organizacines priemones, užtikrinančias, kad asmens informacija negalėtų būti priskirta identifikuojamas asmuo;

 

  1. Jautri asmeninė informacija

(kartais vadinamos specialiomis asmens duomenų kategorijomis arba neskelbtinais asmens duomenimis) reiškia asmeninę informaciją apie asmens rasę, etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėje sąjungoje (arba nebuvimą), genetinę informaciją, biometrinė informacija (jei naudojama asmens tapatybei nustatyti) ir informacija apie asmens sveikatą, seksualinį gyvenimą ar seksualinę orientaciją.

 

  1. Duomenų apsaugos principai

 

  1. Bendrovė, tvarkydama asmeninę informaciją, laikysis šių duomenų apsaugos principų:

 

  1. asmeninę informaciją tvarkysime teisėtai, sąžiningai ir skaidriai;

 

  1. rinksime asmeninę informaciją tik nurodytais, aiškiais ir teisėtais tikslais ir netvarkysime jos su tais teisėtais tikslais nesuderinamu būdu;

 

  1. tvarkysime tik tą asmens informaciją, kuri yra adekvati, svarbi ir reikalinga atitinkamais tikslais;

 

  1. laikysime tikslią ir atnaujintą asmeninę informaciją ir imsimės pagrįstų veiksmų siekdami užtikrinti, kad netiksli asmeninė informacija būtų nedelsiant ištrinta arba ištaisyta;

 

  1. asmeninę informaciją saugosime tokia forma, kuri leistų identifikuoti duomenų subjektus ne ilgiau, nei tai būtina tiems tikslams, dėl kurių informacija tvarkoma; ir

 

  1. imsimės atitinkamų techninių ir organizacinių priemonių, siekdami užtikrinti, kad asmeninė informacija būtų saugi ir apsaugota nuo neteisėto ar neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.

 

  1. Asmens informacijos tvarkymo pagrindas

 

  1. Kalbant apie bet kokią apdorojimo veiklą, prieš pradedant apdorojimą pirmą kartą ir reguliariai, kol jis tęsiasi:

 

  1. peržiūrėti konkrečios tvarkymo veiklos tikslus ir pasirinkti tinkamiausią teisinį pagrindą (ar pagrindus) tokiam tvarkymui, ty:

 

  1. kad duomenų subjektas sutiko su duomenų tvarkymu;

 

  1. kad duomenų tvarkymas yra būtinas vykdant sutartį, kurios šalis yra duomenų subjektas, arba siekiant duomenų subjekto prašymu imtis veiksmų prieš sudarant sutartį;

 

  1. kad tvarkymas yra būtinas, kad būtų laikomasi teisinių įsipareigojimų, kurie yra taikomi Įmonei;

 

  1. kad tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

 

  1. kad tvarkymas yra būtinas vykdant užduotį, atliekamą visuomenės labui

 

  1. kad duomenų tvarkymas yra būtinas siekiant teisėtų Firmos ar trečiosios šalies interesų, išskyrus atvejus, kai tie interesai yra svarbesni už pagrindinių duomenų subjekto teisių ir laisvių interesus – žr. 5.2 punktą toliau.

 

  1. išskyrus atvejus, kai tvarkymas grindžiamas sutikimu, įsitikinti, kad tvarkymas yra būtinas atitinkamo teisėto pagrindo tikslui (ty kad nėra kito pagrįsto būdo tam tikslui pasiekti);

 

  1. dokumentuoti mūsų sprendimą, kuris teisėtas pagrindas taikomas, kad padėtume įrodyti, kad laikomės duomenų apsaugos principų;

 

 

  1. įtraukti informaciją apie duomenų tvarkymo tikslus ir teisėtą pagrindą į atitinkamą (-us) privatumo pranešimą (-ius);

 

  1. kai tvarkoma neskelbtina asmens informacija, taip pat nustatyti teisėtą specialią šios informacijos tvarkymo sąlygą (žr. toliau 6.2.2 punktą) ir ją dokumentuoti; ir

 

  1. kai tvarkoma informacija apie nusikalstamą veiką, taip pat nustatyti teisėtą šios informacijos tvarkymo sąlygą ir ją dokumentuoti.

 

  1. Nustatydami, ar Įmonės teisėti interesai yra tinkamiausias teisėto duomenų tvarkymo pagrindas, mes:

 

  1. atlikti teisėtų interesų vertinimą (ATĮ) ir jį registruoti, kad galėtume pagrįsti savo sprendimą;

 

  1. jei LIA nustato reikšmingą poveikį privatumui, pagalvokite, ar taip pat reikia atlikti poveikio duomenų apsaugai vertinimą (DPAV)

 

  1. nuolat peržiūrėti LIA ir, pasikeitus aplinkybėms, pakartoti; ir

 

  1. įtraukti informaciją apie mūsų teisėtus interesus į atitinkamą (-us) privatumo pranešimą (-ius).

 

  1. Jautri asmeninė informacija

 

  1. Neskelbtina asmens informacija kartais vadinama „specialiomis asmens duomenų kategorijomis“ arba „neskelbtinais asmens duomenimis“.

 

  1. Retkarčiais įmonei gali tekti apdoroti neskelbtiną asmeninę informaciją. Mes tvarkysime neskelbtiną asmeninę informaciją tik jei:

 

  1. turime teisėtą pagrindą tai daryti, kaip nurodyta 5.1.1 punkte, pvz., tai būtina darbo sutarčiai vykdyti, Firmos teisiniams įsipareigojimams vykdyti arba Įmonės teisėtiems interesams pasiekti; ir

 

  1. galioja viena iš specialių neskelbtinos asmens informacijos tvarkymo sąlygų, pvz.:

 

  1. duomenų subjektas davė aiškų sutikimą;

 

  1. duomenų tvarkymas yra būtinas siekiant įgyvendinti Firmos ar duomenų subjekto darbo įstatymus ar pareigas;

 

  1. duomenų tvarkymas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto interesus, o duomenų subjektas fiziškai negali duoti sutikimo;

 

  1. tvarkymas yra susijęs su asmens duomenimis, kuriuos duomenų subjektas aiškiai paskelbė viešai;

 

  1. tvarkymas yra būtinas teisiniams reikalavimams pareikšti, įgyvendinti arba ginti; arba

 

  1. tvarkyti būtina dėl esminio viešojo intereso.

 

  1. Prieš tvarkydami bet kokią neskelbtiną asmeninę informaciją, darbuotojai turi pranešti duomenų apsaugos pareigūnui apie siūlomą tvarkymą, kad duomenų apsaugos pareigūnas galėtų įvertinti, ar tvarkymas atitinka aukščiau nurodytus kriterijus.

 

  1. Neskelbtina asmeninė informacija nebus tvarkoma tol, kol:

 

  1. buvo atliktas 6.3 punkte nurodytas vertinimas; ir

 

  1. asmuo buvo tinkamai informuotas (pateikiant pranešimą apie privatumą ar kitaip) apie duomenų tvarkymo pobūdį, tikslus, kuriais jis atliekamas, ir jo teisinį pagrindą.

 

  1. Įmonė nepriims automatizuotų sprendimų (įskaitant profiliavimą), remdamasi neskelbtina asmens asmenine informacija.

 

  1. Įmonės duomenų apsaugos privatumo pranešime nurodoma, kokios jautrios asmeninės informacijos, kurią Įmonė apdoroja, tipai, kam ji naudojama ir teisėtas tvarkymo pagrindas.

 

  1. Kalbant apie neskelbtiną asmeninę informaciją, įmonė laikysis 6.8 ir 6.9 punktuose nurodytų procedūrų, kad įsitikintų, jog ji laikosi 4 punkte nustatytų duomenų apsaugos principų.

 

  1. Įdarbinimo proceso metu: pareigūno vadovas, vadovaujamas duomenų apsaugos pareigūno, užtikrins, kad (išskyrus atvejus, kai įstatymai leidžia kitaip):

 

  1. trumpojo sąrašo, pokalbio ir sprendimų priėmimo etapuose neužduodami klausimai, susiję su slapta asmenine informacija, pvz., rase ar etnine kilme, naryste profesinėje sąjungoje ar sveikata;

 

  1. jei gaunama neskelbtina asmeninė informacija, pvz., pareiškėjas ją pateikia neprašęs savo gyvenimo aprašyme arba pokalbio metu, ji nėra registruojama ir bet kokia nuoroda į ją nedelsiant ištrinama arba pašalinama.

 

  1. bet kokia užpildyta lygių galimybių stebėsenos forma yra laikoma atskirai nuo asmens paraiškos formos ir negali būti matoma asmeniui, kuris įtraukiamas į trumpąjį sąrašą, pokalbyje ar priima sprendimą dėl įdarbinimo;

 

  1. „Teisės į darbą“ patikrinimai atliekami prieš pateikiant besąlyginį darbo pasiūlymą, o ne ankstesnio atrankos į sąrašą, pokalbio ar sprendimų priėmimo etapuose;

 

  1. Mes neklausime sveikatos klausimų, susijusių su įdarbinimu, arba užduosime klausimus tik tada, kai bus pateiktas darbo pasiūlymas.

 

  1. Darbo metu: Biuro vadovas, vadovaujamas duomenų apsaugos pareigūno, tvarkys:

 

  1. informaciją apie sveikatą, skirtą nedarbingumo pašalpų administravimo, nedarbingumo dėl ligos įrašų, darbuotojų lankomumo stebėjimo ir su darbu susijusių sveikatos bei ligos išmokų palengvinimo tikslais;

 

  1. neskelbtiną asmeninę informaciją lygių galimybių stebėjimo ir atlyginimų lygybės ataskaitų teikimo tikslais. Jei įmanoma, ši informacija bus anonimizuota; ir

 

  1. informacija apie narystę profesinėse sąjungose personalo administravimo ir „check off“ administravimo tikslais.

 

 

  1. Nuosprendžių registro informacija

 

  1. Informacija apie nuosprendžių registrą bus tvarkoma pagal Įmonės informacijos apie nuosprendžių registrą politiką.

 

  1. Poveikio duomenų apsaugai vertinimai (DPIA)

 

  1. Jei tvarkymas gali sukelti didelę riziką asmens duomenų apsaugos teisėms (pvz., kai įmonė planuoja naudoti naujos formos technologiją), prieš pradėdami tvarkyti atliksime DPIA, kad įvertintume:

 

  1. ar tvarkymas yra būtinas ir proporcingas jo tikslui;

 

  1. rizika asmenims; ir

 

  1. kokių priemonių galima imtis siekiant pašalinti tą riziką ir apsaugoti asmeninę informaciją.

 

  1. Todėl prieš įdiegiant bet kokią naują technologiją atsakingas vadovas turėtų susisiekti su duomenų apsaugos pareigūnu, kad būtų galima atlikti DPIA.

 

  1. Atliekant bet kokį DPIA, partneris kreipsis į duomenų apsaugos pareigūno patarimą ir prašys visų kitų susijusių suinteresuotųjų šalių nuomonės.

 

  1. Dokumentai ir įrašai

 

  1. Mes saugosime rašytinius įrašus apie tvarkymo veiksmus, kurie kelia didelę riziką, ty gali kelti pavojų asmenų teisėms ir laisvėms arba susijusi su neskelbtina asmenine informacija ar nuosprendžių registro informacija, įskaitant:

 

  1. darbdavio organizacijos (ir, kai taikoma, kitų duomenų valdytojų, darbdavio atstovo ir DAP) pavadinimas ir duomenys

 

  1. duomenų tvarkymo tikslai;

 

  1. asmenų kategorijų ir asmens duomenų kategorijų aprašymas;

 

  1. asmens duomenų gavėjų kategorijos;

 

  1. prireikus, išsami informacija apie perdavimą trečiosioms šalims, įskaitant galiojančių perdavimo mechanizmo apsaugos priemonių dokumentus;

 

  1. jei įmanoma, saugojimo grafikai; ir

 

  1. jei įmanoma, techninių ir organizacinių saugumo priemonių aprašymas.

 

  1. Kaip dalį savo duomenų tvarkymo veiklos įrašome dokumentuojame arba pateikiame nuorodą į dokumentus:

 

  1. informacija, reikalinga privatumo pranešimams;

 

  1. sutikimo įrašai;

 

  1. duomenų valdytojo ir tvarkytojo sutartys;

 

  1. asmeninės informacijos vieta;

 

  1. DPIA; ir

 

  1. duomenų pažeidimo įrašai.

 

  1. Jei apdorosime neskelbtiną asmeninę informaciją arba nuosprendžių registro informaciją, rašysime įrašus apie:

 

  1. atitinkami tikslai, kuriais (-iais) tvarkomi, įskaitant (jei reikia, kodėl tai būtina tuo tikslu);

 

  1. teisėtas mūsų duomenų tvarkymo pagrindas; ir

 

  1. ar mes saugome ir ištriname asmeninę informaciją pagal mūsų politikos dokumentą ir, jei ne, nurodome priežastis, kodėl nesilaikome mūsų politikos.

 

  1. Reguliariai peržiūrėsime tvarkomą asmens informaciją ir atitinkamai atnaujinsime savo dokumentus. Tai gali apimti:

 

  1. informacijos audito atlikimas, siekiant išsiaiškinti, kokią asmeninę informaciją Įmonė turi;

 

  1. platinti klausimynus ir kalbėtis su įmonės darbuotojais, kad gautume išsamesnį vaizdą apie mūsų apdorojimo veiklą; ir

 

  1. peržiūrėti mūsų politiką, procedūras, sutartis ir susitarimus, kad būtų išspręstos tokios sritys kaip saugojimas, saugumas ir dalijimasis duomenimis.

 

  1. Privatumo pranešimas

 

  1. Įmonė retkarčiais skelbs privatumo pranešimus, informuodama jus apie asmeninę informaciją, kurią renkame ir laikome apie jus, kaip galite tikėtis, kad jūsų asmeninė informacija bus naudojama ir kokiais tikslais.

 

  1. Imsimės atitinkamų priemonių, kad informacija privatumo pranešimuose būtų pateikta glausta, skaidria, suprantama ir lengvai prieinama forma, naudojant aiškią ir paprastą kalbą.

 

  1. Asmeninės teisės

 

  1. Jūs (kaip ir kiti duomenų subjektai) turite šias teises, susijusias su jūsų asmenine informacija:

 

  1. būti informuotam apie tai, kaip, kodėl ir kokiu pagrindu ta informacija tvarkoma – žr. Firmos duomenų apsaugos privatumo pranešimą;

 

  1. gauti patvirtinimą, kad jūsų informacija yra tvarkoma, ir gauti prieigą prie jos bei tam tikros kitos informacijos, pateikiant subjekto prieigos užklausą – žr. Firmos subjektų prieigos užklausų politiką;

 

  1. ištaisyti duomenis, jei jie netikslūs ar neišsamūs;

 

  1. reikalauti, kad duomenys būtų ištrinti, jei jie nebėra reikalingi tikslui, dėl kurio jie buvo iš pradžių surinkti / tvarkomi, arba jei nėra viršesnio teisėto pagrindo tvarkyti (tai kartais vadinama „teisė būti pamirštam“);

 

  1. apriboti asmens informacijos tvarkymą, kai ginčijamas informacijos tikslumas arba tvarkymas yra neteisėtas (tačiau nenorite, kad duomenys būtų ištrinti), arba kai darbdaviui asmeninės informacijos nebereikia, bet jūs reikalaujate duomenų pareikšti, įgyvendinti ar ginti teisinį reikalavimą; ir

 

  1. laikinai apriboti asmeninės informacijos tvarkymą, jei manote, kad ji nėra tiksli (o darbdavys tikrina, ar ji tiksli), arba kai prieštaravote tvarkymui (ir darbdavys svarsto, ar organizacijos teisėti pagrindai viršija jūsų interesus ).

 

  1. Jei norite pasinaudoti kuria nors iš 11.1.3–11.1.6 punktuose nurodytų teisių, susisiekite su duomenų apsaugos pareigūnu.

 

  1. Individualūs įsipareigojimai

 

  1. Asmenys yra atsakingi už pagalbą įmonei, kad jų asmeninė informacija būtų atnaujinta. Turėtumėte pranešti Biuro vadovui, jei keičiasi informacija, kurią pateikėte įmonei, pavyzdžiui, persikraustydami į namus arba pakeitus banko ar pastatų bendrijos sąskaitos, į kurią jums buvo sumokėta, duomenis.

 

  1. Jūs galite turėti prieigą prie kitų įmonės darbuotojų, tiekėjų ir klientų asmeninės informacijos, kai dirbate ar dirbate. Jei taip, įmonė tikisi, kad padėsite įvykdyti savo duomenų apsaugos įsipareigojimus tiems asmenims. Pavyzdžiui, turėtumėte žinoti, kad jie taip pat gali naudotis 11.1 punkte nurodytomis teisėmis

 

 

  1. Jei turite prieigą prie asmeninės informacijos, turite:

 

  1. pasiekti tik tą asmeninę informaciją, kurią turite teisę pasiekti, ir tik įgaliotais tikslais;

 

  1. leisti kitiems Įmonės darbuotojams susipažinti su asmenine informacija tik tada, kai jie turi atitinkamus įgaliojimus;

 

  1. leisti asmenims, kurie nėra Įmonės darbuotojai, prieiti prie asmeninės informacijos, jei turite tam konkrečius duomenų apsaugos pareigūno įgaliojimus;

 

  1. saugoti asmeninę informaciją (pvz., laikantis patekimo į patalpas, prieigos prie kompiuterio, apsaugos slaptažodžiu ir saugaus failų saugojimo bei naikinimo taisyklių ir kitų Firmos informacijos saugumo politikoje nustatytų atsargumo priemonių);

 

  1. nepašalinti asmeninės informacijos ar įrenginių, kuriuose yra asmeninės informacijos (arba kuriais galima prieiti prie jos), iš Įmonės patalpų, nebent būtų taikomos atitinkamos saugumo priemonės (pvz., pseudoniminimas, šifravimas ar apsauga slaptažodžiu), siekiant apsaugoti informaciją ir įrenginį; ir

 

  1. nesaugoti asmeninės informacijos vietiniuose diskuose ar asmeniniuose įrenginiuose, kurie naudojami darbo tikslais;

 

  1. Turėtumėte susisiekti su duomenų apsaugos pareigūnu, jei nerimaujate arba įtariate, kad įvyko (arba vyksta arba gali įvykti) vienas iš šių dalykų:

 

  1. asmens duomenų tvarkymas be teisėto pagrindo juos tvarkyti arba, kai yra jautri asmens informacija, neįvykdžius vienos iš 6.2.2 punkte nurodytų sąlygų;

 

  1. bet koks duomenų pažeidimas, kaip nurodyta toliau 15.1 punkte;

 

  1. prieiga prie asmeninės informacijos be tinkamo leidimo;

 

  1. asmeninė informacija nėra saugiai saugoma arba ištrinta;

 

  1. asmeninės informacijos arba įrenginių, kuriuose yra asmeninė informacija (arba kuriais galima prieiti prie jos), pašalinimas iš Įmonės patalpų, netaikant atitinkamų saugumo priemonių;

 

  1. bet koks kitas šios politikos arba bet kurio iš 4.1 punkte nurodytų duomenų apsaugos principų pažeidimas.

 

  1. Informacijos saugumas

 

  1. Įmonė naudos tinkamas technines ir organizacines priemones, vadovaudamasi Įmonės informacijos saugumo politika, siekdama apsaugoti asmeninę informaciją ir ypač apsaugoti nuo neteisėto ar neteisėto tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. Tai gali būti:

 

  1. užtikrinti, kad, jei įmanoma, asmeninė informacija būtų pseudonimizuota arba užšifruota;

 

  1. nuolatinio apdorojimo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo užtikrinimas;

 

  1. užtikrinti, kad fizinio ar techninio incidento atveju būtų galima laiku atkurti asmens informacijos prieinamumą ir prieigą; ir

 

  1. techninių ir organizacinių priemonių, užtikrinančių duomenų tvarkymo saugumą, reguliaraus tikrinimo, vertinimo ir veiksmingumo vertinimo procesas.

 

  1. Kai Įmonė naudojasi išorinėmis organizacijomis asmeninei informacijai tvarkyti jos vardu, sutartyse su tomis organizacijomis reikia įgyvendinti papildomas saugumo priemones, kad būtų užtikrintas asmeninės informacijos saugumas. Visų pirma sutartyse su išorės organizacijomis turi būti numatyta, kad:

 

  1. organizacija gali veikti tik pagal rašytinius Firmos nurodymus;

 

  1. duomenis tvarkantiems asmenims taikoma pasitikėjimo pareiga;

 

  1. imamasi atitinkamų priemonių duomenų tvarkymo saugumui užtikrinti;

 

  1. subrangovai samdomi tik gavus išankstinį Firmos sutikimą ir pagal rašytinę sutartį;

 

  1. organizacija padės įmonei suteikti subjekto prieigą ir leisti asmenims įgyvendinti savo teises, susijusias su duomenų apsauga;

 

  1. organizacija padės įmonei vykdyti įsipareigojimus, susijusius su duomenų tvarkymo saugumu, pranešimu apie duomenų pažeidimus ir poveikio duomenų apsaugai vertinimu;

 

  1. organizacija ištrins arba grąžins įmonei visą asmeninę informaciją, kaip to reikalaujama sutarties pabaigoje; ir

 

  1. organizacija pasiduos auditui ir patikrinimams, pateiks įmonei visą reikalingą informaciją, kad užtikrintų, jog jie abu vykdo savo duomenų apsaugos įsipareigojimus, ir nedelsdama praneš įmonei, jei jos bus paprašyta padaryti ką nors pažeidžiančio duomenų apsaugos įstatymą.

 

  1. Prieš sudarant bet kokią naują sutartį, susijusią su asmens informacijos tvarkymu išorinėje organizacijoje, arba keičiant esamą sutartį, atitinkami darbuotojai turi prašyti, kad duomenų apsaugos pareigūnas patvirtintų jos sąlygas;

 

  1. Asmeninės informacijos saugojimas ir saugojimas

 

  1. Asmeninė informacija (ir jautri asmeninė informacija) bus saugoma saugiai, laikantis Įmonės informacijos saugumo politikos.

 

  1. Asmeninė informacija (ir jautri asmeninė informacija) neturėtų būti saugoma ilgiau nei būtina. Duomenų saugojimo trukmė priklausys nuo aplinkybių, įskaitant priežastis, dėl kurių buvo gauta asmeninė informacija. Darbuotojai turėtų laikytis įmonės įrašų saugojimo politikos, kurioje nustatytas atitinkamas saugojimo laikotarpis arba kriterijai, kuriais remiantis nustatomas saugojimo laikotarpis. Kilus neaiškumams, darbuotojai turėtų pasikonsultuoti su [duomenų apsaugos pareigūnu;

 

  1. Asmeninė informacija (ir jautri asmeninė informacija), kuri nebereikalinga, bus visam laikui ištrinta iš mūsų informacinių sistemų, o visos popierinės kopijos bus saugiai sunaikintos.

 

  1. Duomenų pažeidimai

 

  1. Duomenų pažeidimas gali būti įvairių formų, pavyzdžiui:

 

  1. duomenų ar įrangos, kurioje saugoma asmeninė informacija, praradimas arba vagystė;

 

  1. personalo nario ar trečiosios šalies neteisėta prieiga prie asmeninės informacijos arba jos naudojimas;

 

  1. duomenų praradimas dėl įrangos ar sistemų (įskaitant aparatinę ir programinę įrangą) gedimo;

 

  1. žmogiškosios klaidos, pavyzdžiui, atsitiktinis duomenų ištrynimas ar pakeitimas;

 

  1. nenumatytų aplinkybių, tokių kaip gaisras ar potvynis;

 

  1. tyčinės atakos prieš IT sistemas, pvz., įsilaužimas, virusai ar sukčiavimo sukčiavimas; ir

 

  1. šmeižto nusikaltimai, kai informacija gaunama apgaunant ją turinčią organizaciją.

 

  1. Įmonė:

 

  1. nedelsdamas ir, jei įmanoma, per 72 valandas nuo tada, kai apie jį sužinojo, pateikti reikiamą pranešimą apie duomenų saugumo pažeidimą Informacijos komisaro tarnybai, jei dėl to gali kilti pavojus asmenų teisėms ir laisvėms; ir

 

  1. informuoti nukentėjusius asmenis, jei dėl duomenų saugumo pažeidimo gali kilti didelė rizika jų teisėms ir laisvėms ir apie tai pranešti reikalaujama pagal įstatymus.

 

  1. Tarptautiniai pervedimai

 

  1. Įmonė gali perduoti asmeninę informaciją už Europos ekonominės erdvės (EEE) ribų (kurią sudaro Europos Sąjungos šalys ir Islandija, Lichtenšteinas ir Norvegija), remdamasi tuo, kad ta šalis, teritorija ar organizacija yra nustatyta kaip turinčios tinkamą apsaugos lygį arba kad informaciją gaunanti organizacija numatė tinkamas apsaugos priemones, vadovaudamasi privalomomis įmonės taisyklėmis arba standartinėmis duomenų apsaugos sąlygomis arba patvirtinto elgesio kodekso laikymusi, arba gavusi aiškų kliento sutikimą.

 

  1. Treniruotės

 

  1. Įmonė pasirūpins, kad darbuotojai būtų tinkamai apmokyti dėl duomenų apsaugos pareigų. Asmenys, kuriems atlikti reikia reguliarios prieigos prie asmeninės informacijos arba kurie yra atsakingi už šios politikos įgyvendinimą arba atsakymą į subjektų prieigos užklausas pagal šią politiką, bus papildomai apmokyti, kad jie suprastų savo pareigas ir kaip jų laikytis.

 

  1. Neįvykdymo pasekmės

 

  1. Įmonė labai rimtai žiūri į šios politikos laikymąsi. Politikos nesilaikymas:

 

  1. kelia pavojų asmenims, kurių asmeninė informacija yra tvarkoma; ir

 

  1. kelia didelių civilinių ir baudžiamųjų sankcijų asmeniui ir Įmonei riziką; ir

 

  1. tam tikromis aplinkybėmis gali prilygti asmens nusikalstamai veikai.

 

  1. Dėl šios politikos svarbos darbuotojui nesilaikant bet kokių jos reikalavimų, pagal mūsų procedūras gali būti taikomos drausminės nuobaudos, o už šiurkštų nusižengimą gali būti atleistas iš darbo. Jei ne darbuotojas pažeidžia šią politiką, jo sutartis gali būti nutraukta nedelsiant.

 

  1. Jei turite klausimų ar neaiškumų dėl ko nors šioje politikoje, nedvejodami susisiekite su duomenų apsaugos pareigūnu;

 

 

 

Perskaičiau ir supratau šią politiką bei sutinku laikytis jos sąlygų.

 

Pasirašė................................................. .................................................. .

bottom of page