KONTAKTAI

CAN CAN Pizza –
RINKTIS APSIMOKA!

TAISYKLĖS
PRIVATUMO IR ASMENS DUOMENŲ TVARKYMO POLITIKA
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ TAISYKLĖS
ASMENS VAIZDO DUOMENŲ STEBĖJIMO TAISYKLĖS
DARBUOTOJŲ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TAISYKLĖS
KANDIDATŲ PRETENDUOJANČIŲ Į LAISVAS DARBO VIETAS
KLIENTŲ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ NUSTATYMO, SUSTABDYMO
(PAŠALINIMO), TYRIMO, PRANEŠIMO APIE JUOS IR DOKUMENTAVIMO TAISYKLĖS

1. BENDROSIOS NUOSTATOS

1.1. UAB “Delano”, juridinio asmens kodas 125542554, buveinės adresas – Ozo g. 25, LT-07150 Vilnius, tel. +370 659 31362. El. paštas: delano@delano.lt, interneto svetaine: www.delano.lt, vadovaujantis Bendruoju Duomenų Apsaugos Reglamentu (ES) 2016/679 (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ) ir kitais Europos sąjungos ir Lietuvos Respublikos teisės aktais, reguliuojančiais duomenų apsaugą ir tvarkymą, siekiant tinkamai įgyvendinti BDAR reikalavimus, šiuose taisyklėse (toliau–Taisyklės) nustato asmens duomenų saugumo pažeidimų nustatymo, sustabdymo (pašalinimo), tyrimo, pranešimo apie juos ir dokumentavimo tvarka.
1.2. UAB „Delano“, (toliau – Bendrovė), Taisyklių tikslas – reglamentuoti Bendrovėje atliekamų asmens duomenų saugumo pažeidimų nustatymo, sustabdymo (pašalinimo), tyrimo, pranešimo apie juos ir dokumentavimo tvarka ir aprašyti pagrindines Bendrovės veiksmus asmens duomenų saugumo pažeidimo atveju.

1.3. Taisyklėse nustatoma ir aprašoma:
a) kas yra asmens duomenų saugumo pažeidimai;
b) kokiems asmenims privaloma pranešti apie galimą asmens duomenų saugumo pažeidimą;
c) kaip turi vykti asmens duomenų saugumo pažeidimo tyrimas;
d) pareiga pateikti pranešimą Valstybinei asmens duomenų apsaugos inspekcijai (priežiūros institucijai) ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą;
e) kokiais atvejais pranešimas turi būti pateikiamas ir fiziniam asmeniui (duomenų subjektui), kurio asmens duomenys yra susiję su incidentu (pažeidimų);
f) asmens duomenų saugumo pažeidimų dokumentavimo pareiga.

1.4. Šiose Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR, ADTAĮ ir kituose Europos sąjungos ir Lietuvos Respublikos teisės aktuose.

2. TAISYKLĖSE VARTOJAMOS PAGRINDINĖS SĄVOKOS

2.1. Bendrovė – bet kokios teisinės formos ekonomine veikla užsiimantis juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus (Duomenų valdytojas ir/ar tvarkytojas).
2.2. Privatumo ir asmens duomenų politika – asmens duomenų apsaugos politikos nuostatos, kurių Bendrovė (kaip duomenų valdytoja arba duomenų tvarkytoja) laikosi.
2.3. Internetinė svetainė – Bendrovės internetinė svetainė esanti adresu www.delano.lt kurioje Duomenų subjektas (Pvz., svetainės lankytojas, klientas arba darbuotojas) gali pateikti užsakymą, palikti užklausą, duoti sutikimą tvarkyti asmens duomenis elektroninės prekybos, tiesioginės rinkodaros, personalo administravimo tikslu arba kitais asmens duomenų valdymo ir tvarkymo tikslais.
2.4. Duomenų subjektas – gyvas fizinis asmuo, (Pvz., Bendrovės darbuotojas, klientas ar internetinės svetainės lankytojas), kurio asmens duomenis Duomenų valdytojas tvarko nustatytais tikslais arba tiesioginės rinkodaros tikslu.
2.5. Asmens duomenys – bet kokia informacija apie gyvą fizinį asmenį, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenų subjekto duomenimis kaip vardas, pavardė, gimimo data, asmens kodas, gyvenamosios vietos adresas, asmens tapatybės kortelės ar paso numeris, banko kortelės numeris, diplomų ir sertifikatų duomenys, duomenys apie turimą turtą, duomenys apie sveikatą, biometriniai duomenys, veido atvaizdas, telefono numeris, elektroninio pašto adresas, interneto protokolo (IP) adresas, automobilio numeris arba kitais tik fiziniam asmeniui būdingais fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymėmis.
2.6. Duomenų valdytojas – UAB “Delano”, juridinio asmens kodas 125542554, buveinės adresas – Ozo g. 25, LT-07150 Vilnius, tel.  +370 659 31362. El. paštas: delano@delano.lt, interneto svetaine: www.delano.lt,
2.7. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri pagal sutartį Duomenų valdytojo vardu tvarko Duomenų subjektų asmens duomenis ir padeda Duomenų valdytojui, pagal jo suteiktus įgaliojimus, įgyvendinti Duomenų valdytojo nustatytus tikslus.
2.8. Duomenų tvarkymas – bet kuris su Duomenų subjektų asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, keitimas (papildymas ar taisymas), teikimas, naudojimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.
2.9. Tiesioginė rinkodara – Bendrovės (Duomenų valdytojo) veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti Duomenų subjektams prekes, paslaugas, progines nuolaidas ir (arba) teirautis jų nuomonės dėl Bendroves siūlomų prekių ar paslaugų.
2.10. Elektroninė prekyba – Bendrovės (Duomenų valdytojo) prekių (produktų) ar paslaugų pirkimas bei pardavimas internetu.
2.11. Susistemintas rinkinys – bet kuris Bendrovės (Duomenų valdytojo) susistemintas pagal specialius kriterijus prieinamų Duomenų subjektų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu.
2.12. Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto Duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad Bendrovėje būtų tvarkomi su juo susiję asmens duomenys.
2.13. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai BDAR nustatyta tvarka atskleidžiami Bendrovėje tvarkomi Duomenų subjektų asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
2.14. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
2.15. Valdžios institucijos ir įstaigos –  Lietuvos Respublikos valstybės, savivaldybių institucijos ir įstaigos, įmonės ir viešosios įstaigos, finansuojamos iš valstybės ar savivaldybių biudžetų bei valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą arba teikiančios asmenims viešąsias ar administracines paslaugas ar vykdančios kitas viešąsias funkcijas.
2.16. Duomenų tvarkymo apribojimas – Bendrovės (Duomenų valdytojo) saugomų ir tvarkomų Duomenų subjektų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje.
2.17. Asmens duomenų saugumo pažeidimas – Duomenų subjektų asmens duomenų saugumo pažeidimas, dėl kurio netyčia arba neteisėtai Duomenų subjektų asmens duomenys sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami arba buvo persiųsti kitiems asmenims arba Duomenų subjektų asmens duomenys buvo saugomi ir tvarkomi kitaip nei nustatyta BDAR ir Bendrovės Taisyklėse ir prie jų be leidimo buvo suteikta prieiga.
2.18. Sveikatos duomenys – Duomenų subjektų asmens duomenys, susiję su fizine ar psichine fizinio asmens (Duomenų subjekto) sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
2.19. Skundas – Duomenų subjekto rašytinis kreipimasis į Bendrovės vadovą (administraciją), kuriame nurodoma, kad yra pažeistos jo teisės ar teisėti interesai, ir prašoma juos apginti.
2.20. Ginčas – Duomenų subjekto ir Bendrovės konfliktas, kuris grindžiamas pažeistais Duomenų subjekto ir Bendrovės teisiniais interesais.
2.21. Priežiūros institucija – Valstybinė asmens duomenų apsaugos inspekcija (toliau – VDAI). Įstaigos kontaktai: L. Sapiegos g. 17, 10312 Vilnius. Tel. (8 5) 271 28 04, (8 5) 2791445. Faks. (8 5) 261 94 94. El. paštas: ada@ada.lt ,  E. pristatymo dėžutė:188607912 .

3. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAS

3.1. Bendrovė ir Bendrovės darbuotojai, tvarkantis Duomenų subjektų asmens duomenis Bendrovės vardu patyrę duomenų saugumo pažeidimus, privalo ne tik imtis veiksmų pažeidimams pašalinti, bet ir informuoti apie tai priežiūros instituciją – Valstybinę duomenų apsaugos inspekciją (toliau – VDAI).

3.2. Galimi asmens duomenų saugumo pažeidimų tipai:
a) Konfidencialumo pažeidimas – kai yra be leidimo ar neteisėtai atskleidžiami Duomenų subjektų asmens duomenys arba gaunama prieiga prie jų;
b) Prieinamumo pažeidimas – kai netyčia arba neteisėtai prarandama prieiga prie Duomenų subjektų asmens duomenų arba sunaikinami Duomenų subjektų asmens duomenys;
c) Vientisumo pažeidimas – kai Duomenų subjektų asmens duomenys pakeičiami be leidimo ar netyčia.

3.3. Priklausomai nuo aplinkybių, asmens duomenų saugumo pažeidimas tuo pat metu gali sietis su asmens duomenų konfidencialumu, prieinamumu ir vientisumu ar su kuriuo nors jų deriniu.

4. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ DOKUMENTAVIMAS IR TYRIMAS

4.1. Siekiant tinkamai įgyvendinti BDAR, ADTAĮ ir kituose Europos sąjungos ir Lietuvos Respublikos teisės aktuose nustatytus reikalavimus ir atsižvelgiant į Bendrovėje atliekamus asmens duomenų tvarkymo tikslus ir veiksmus, Bendrovės vadovas savo įsakymų paskiria Bendrovės darbuotoją, atsakingą už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą, tyrimą, pranešimų VDAI ir duomenų subjektui teikimą, prevencinių priemonių įdiegimo kontrolę Bendroves skyriuose, teritoriniuose padaliniuose (toliau – Atsakingas asmuo) ir nustato, kas ir kaip registruoja Duomenų subjektų asmens duomenų saugumo pažeidimus, kur ir kokia forma pažeidimų žurnalas ar registras pildomas, kiek laiko saugomas ir kokia informacija turėtų būti jame įrašyta.
4.2. Bendrovės vadovas ir Bendrovės skyrių ir/ar teritorinių padalinių vadovai privalo informuoti ir instruktuoti visus Bendrovės darbuotojus tvarkančius Duomenų subjektų asmens duomenis Bendrovės vardu, apie jų pareigą per 24 val. pranešti apie visus galimus pažeidimus tiesiogiai Bendroves vadovui ir supažindinti Bendrovės darbuotojus su BDAR ir Bendrovės Taisyklių reikalavimais ir jose nustatyta pranešimų apie pažeidimus pateikimo tvarka.
4.3. Bendrovės vadovas ir Bendrovės skyrių ir/ar teritorinių padalinių vadovai privalo apie asmens duomenų saugumo pažeidimą taip pat informuoti ir Bendrovės duomenų apsaugos pareigūną (jeigu toks yra paskirtas) bei laiku ir tinkamai suteikti jam visą informaciją, susijusią su galimu pažeidimu. Reikalui esant konsultuojasi su Bendrovės duomenų apsaugos pareigūnu (jeigu toks yra paskirtas) dėl tolimesnių veiksmų, susijusių su pažeidimu.
4.4. Bendrovės darbuotojas, tvarkantis Duomenų subjektų asmens duomenis Bendrovės vardu, pats nustatęs galimą pažeidimą arba sužinojęs apie galimą pažeidimą iš Duomenų tvarkytojo, žiniasklaidos ar kito šaltinio, privalo nedelsdamas (bet ne ilgiau kaip per 24 val.) apie tai pranešti Bendrovės vadovui žodžiu, raštu ar elektroninėmis priemonėmis.
4.5. Už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje paskirtas atsakingas darbuotojas, visus su Duomenų subjektų asmens duomenų saugumo pažeidimu susijusius faktus, jų poveikį, taisomuosius veiksmus, kurių buvo imtasi, registruoja asmens duomenų saugumo pažeidimų registracijos žurnale arba registre nepriklausomai nuo to, ar apie juos buvo pranešta Bendrovės vadovui, VDAI, Duomenų subjektui ar ne. (Žurnalo (registro) forma pridedamą)
4.6. Už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovės atsakingas darbuotojas, sužinojęs apie galimą pažeidimą, nedelsiant (bet ne ilgiau kaip per 5 darbo dienas) įrašo į žurnalą (registrą) asmens duomenų saugumo pažeidimo faktą ir kaip įmanoma greičiau atlieka pirminį tyrimą, išsiaiškina ir nustato, ar asmens duomenų saugumo pažeidimas iš tikrųjų įvyko, įvertina galimą riziką ir kokios galimos pasekmės Duomenų subjektui ar Duomenų subjektams ir apie asmens duomenų saugumo pažeidimo faktą praneša Bendrovės vadovui ir informuoja Duomenų apsaugos pareigūną (jei toks Bendrovėje yra paskirtas). Reikalui esant konsultuojasi su jo dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimu.

4.7. Asmens duomenų saugumo pažeidimų registracijos žurnale arba registre nurodoma:
a) pažeidimo data ir vieta;
b) kas pranešė apie pažeidimą;
c) kas konkrečiai įvyko;
d) kieno ir kokie asmens duomenys pažeisti;
e) kokie yra su pažeidimu susiję faktai;
f) kokia pažeidimo priežastis, poveikis ir pasekmės;
g) kokie veiksmai yra atlikti pažeidimui pašalinti ar kurių buvo imtasi;
h) ar buvo pranešta apie pažeidimą VDAI;
i) ar buvo pranešta apie pažeidimą Duomenų subjektui;
j) kas priėmė sprendimą nepranešti apie pažeidimą VDAI ir Duomenų subjektui ir kodėl;
(Pvz., Pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie pažeidimą duomenų subjektui nereikia.)
k) jeigu pranešimą vėluojama pateikti VDAI ar pranešimas teikiamas etapais nurodyti pranešimo VDAI pateikimo vėlavimo priežastį;
l) kur ir kiek laiko saugoma asmens duomenų saugumo pažeidimo tyrimo medžiaga;
m) įrašoma kita reikšminga informacija susijusi su asmens duomenų saugumo pažeidimu.

4.8. Bendrovės asmens duomenų saugumo pažeidimų registracijos žurnalas arba registras tvarkomas raštu, įskaitant elektronine formą ir saugomas pagal Bendrovėje patvirtintą dokumentų saugojimo tvarką. Esant būtinybei, asmens duomenų saugumo pažeidimų žurnale arba registre esanti informacija papildoma ir/ar koreguojama.
4.9. Bendroves vadovas ar jo įsakymų paskirtas už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovės atsakingas darbuotojas privalo periodiškai peržiūrėti asmens duomenų saugumo pažeidimų registracijos žurnale ar registre esančius įrašus ir numatyti, kokios prevencijos priemonės yra ar turėtų būti įgyvendintos, kad ateityje analogiški pažeidimai nesikartotų Bendrovėje ir kontroliuoti prevencijos priemonių įdiegimą.
4.10. Remdamasi asmens duomenų saugumo pažeidimų registracijos žurnale arba registre pateikta informacija, VDAI pareigūnai ar Bendrovės Duomenų apsaugos pareigūnas (jei toks yra paskirtas) turi galėti patikrinti, kaip buvo įgyvendinama Bendrovės prievolė pranešti apie asmens duomenų saugumo pažeidimus VDAI ir Duomenų subjektams.
4.11. Bendrovės vadovas ir už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas, privalo imtis visų tinkamų techninių ir organizacinių priemonių, kad asmens duomenų saugumo pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) bei ateityje Bendrovėje nepasikartotų. Už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas, atliekant pirminį tyrimą ir siekiant nustatyti, ar asmens duomenų saugumo pažeidimas iš tikrųjų įvyko, dokumentuoja visus su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.

4.12. Bendrovės vadovas ir už asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas vertinant riziką, kuri gali atsirasti dėl asmens duomenų saugumo pažeidimo, turi atsižvelgti į konkrečias asmens duomenų saugumo pažeidimo aplinkybes, pavojaus Duomenų subjektų teisėms ir laisvėms atsiradimo tikimybę ir rimtumą. Rizika turėtų būti vertinama objektyviai atsižvelgiant į šiuos kriterijus:
a) į pažeidimo tipą;
b) asmens duomenų pobūdį ir apimtį;
c) kaip lengvai identifikuojamas fizinis asmuo (Duomenų subjektas);
d) pasekmių rimtumą fiziniams asmenims (Duomenų subjektams);
e) ar pažeidimas gali sukelti pavojų fizinių asmenų(Duomenų subjektų) teisėms ir laisvėms;
f) ar fiziniai asmenys (Duomenų subjektai) gali patirti materialinę ar nematerialinę žalą;
g) ar fiziniai asmenys (Duomenų subjektai) gali prarasti savo asmens duomenų kontrolę;
h) ar fiziniai asmenys (Duomenų subjektai) gali patirti teisių apribojimą ar diskriminaciją;
i) ar gali būti pavogta ar suklastota fizinių asmenų (Duomenų subjektų) tapatybė;
j) ar gali būti pakenkta fizinių asmenų (Duomenų subjektų) reputacijai;
k) ar pažeidimas gali sukelti pavojų fizinio asmens savybes pakeitimui;
l) nukentėjusiųjų fizinių asmenų skaičių;
m) specialias duomenų valdytojo savybes.

Vertinant galimas rizikas, turėtų būti laikoma, kad Duomenų subjektų asmens duomenų saugumo pažeidimas, galintis kelti pavojų Duomenų subjektų teisėms ir laisvėms yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, Duomenų subjektai (fiziniai asmenys) gali patirti materialinę ar nematerialinę žalą, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jų asmens tapatybė, pakenkta jų reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam Duomenų subjektui (fiziniam asmeniui).

4.13. Įvertinus riziką turi būti aiškiai nustatyta, kad yra:
a) žema rizikos tikimybė;
b) vidutinė rizikos tikimybė;
c) didelė (aukšta) rizikos tikimybė.

4.14. Už asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas įvertinęs pažeidimo aplinkybės ir rizikos Duomenų subjektų (fizinių asmenų) teisėms bei laisvėms, išvadą ir pasiūlymus dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimu, kad pažeidimas būtų išsamiai ištirtas ir pašalintas bei ateityje Bendrovėje nepasikartotų nedelsdamas pateikia Bendrovės vadovui.
4.15. Bendrovės vadovas įvertinęs už asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingo darbuotojo pateiktą išvadą ir pasiūlymus, priima galutinį sprendimą dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimu, kad pažeidimas būtų išsamiai ištirtas ir ko greičiau butu pašalintas bei ateityje Bendrovėje nepasikartotų. Reikalui esant Bendrovės vadovas konsultuojasi su Bendrovės duomenų apsaugos pareigūnu (jei toks yra paskirtas) arba su VDAI pareigūnų dėl tolimesnių veiksmų, susijusių su Duomenų subjektų asmens duomenų saugumo pažeidimu, kad pažeidimas būtų išsamiai ištirtas ir pašalintas.
4.16. Jeigu tiriant Duomenų subjektų asmens duomenų saugumo pažeidimą pradžioje nustatoma, kad nėra pavojaus Duomenų subjektų teisėms ir laisvėms, tačiau detalesnio pažeidimo tyrimo metu nustatoma, kad toks pavojus gali jiems kilti, už asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas privalo tokia riziką vertinti iš naujo ir Bendrovės vadovui pateikti galutinę išvadą ir pasiūlymą dėl tolimesnių veiksmų, susijusių su Duomenų subjektų asmens duomenų saugumo pažeidimu, kad toks pažeidimas būtų išsamiai ištirtas ir pašalintas bei ateityje Bendrovėje nepasikartotų. Reikalui esant už asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas konsultuojasi su Bendrovės duomenų apsaugos pareigūnu (jei toks yra paskirtas) arba su VDAI pareigūnų dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimu, kad pažeidimas būtų išsamiai ištirtas ir pašalintas.

5. PRANEŠIMAI APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS PRIEŽIŪROS INSTITUCIJAI

5.1. Pranešimai apie Duomenų subjektų asmens duomenų saugumo pažeidimus Lietuvos Respublikos Valstybinei duomenų apsaugos inspekcijai (toliau – VDAI) ir Duomenų subjektams, teikiami vadovaujantis  BDAR 33 ir 34 straipsniais.
5.2.Nustačius,kad Duomenų subjektų asmens duomenų saugumo pažeidimas buvo ir, kad yra rizika Duomenų subjektų (fizinių asmenų) teisėms ir laisvėms, už asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas atlikus pirminį tyrimą, įvertinęs Duomenų subjektų asmens duomenų saugumo pažeidimo aplinkybės ir rizikos Duomenų subjektų (fizinių asmenų) teisėms bei laisvėms ir gavus Bendrovės vadovo (ar jo įgalioto asmens) galutinį sprendimą  nedelsdamas, ne vėliau kaip per 72 val., apie Duomenų subjektų asmens duomenų saugumo pažeidimą praneša VDAI pagal nustatyta pranešimo forma (Priedas Nr.1)
5.3. Jeigu, priklausomai nuo Duomenų subjektų asmens duomenų saugumo pažeidimo pobūdžio, būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su Duomenų subjektų asmens duomenų saugumo pažeidimu, ir per 72 val. nuo sužinojimo apie Duomenų subjektų asmens duomenų saugumo pažeidimą dėl objektyvių aplinkybių to padaryti neįmanoma, pranešimas VDAI bei reikalingą informaciją gali būti teikiama etapais. Apie informacijos teikimą etapais, atlikus pirminį tyrimą Bendrovės vadovas ir VDAI informuojami teikiant pirminį pranešimą apie Duomenų subjektų asmens duomenų saugumo pažeidimą.
5.4. Jeigu po pranešimo VDAI pateikimo, atlikus tolesnį tyrimą, yra nustatoma, kad Duomenų subjektų asmens duomenų saugumo pažeidimas buvo sustabdytas arba faktiškai nebuvo jokio Duomenų subjektų asmens duomenų saugumo pažeidimo, už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas išvadą pateikia Bendrovės vadovui. Gavus Bendrovės vadovo galutinį sprendimą nedelsiant informuoja apie tai VDAI ir padaro įrašą Bendrovės asmens duomenų saugumo pažeidimų registracijos žurnale arba registre.
5.5. Jeigu Duomenų subjektų asmens duomenų saugumo pažeidimas įvyko Lietuvos Respublikoje ir toks pažeidimas paveikia Duomenų subjektų (fizinių asmenų) asmens duomenis daugiau negu vienoje ES valstybėje narėje tuomet Bendrovės vadovas ar jo įgaliotas atstovas apie Duomenų subjektų asmens duomenų saugumo pažeidimą privalo pranešti VDAI bei nurodyti, kad Duomenų subjektų asmens duomenų saugumo pažeidimas apima ir kitose ES valstybėse narėse esančias Bendrovės (Duomenų valdytojo) buveines, ir ES valstybėse narėse esančius Duomenų subjektų asmens duomenų saugumo pažeidimas galėjo paveikti. Už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas apie VDAI informavimą padaro įrašą Bendrovės asmens duomenų saugumo pažeidimų registracijos žurnale arba registre. Šiuo atveju VDAI informavimas apie Duomenų subjektų asmens duomenų saugumo pažeidimą neatleidžia Bendrovės vadovą nuo pareigos informuoti apie Duomenų subjektų asmens duomenų saugumo pažeidimą Duomenų subjektus.

6. PRANEŠIMAI APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS DUOMENŲ SUBJEKTUI

6.1 Nustačius, kad Duomenų subjektų asmens duomenų saugumo pažeidimas buvo ir, kad yra didelė rizika Duomenų subjektų (fizinių asmenų) teisėms ir laisvėms, už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas gavus Bendrovės vadovo (ar jo įgalioto asmens) galutinį sprendimą nedelsdamas, ne vėliau kaip per 72 val.  apie Duomenų subjektų asmens duomenų saugumo pažeidimą praneša Duomenų subjektui (fiziniam asmeniui), kurio teisėms ir laisvėms dėl šio Duomenų subjektų asmens duomenų saugumo pažeidimo gali kilti didelis pavojus.

6.2. Pranešime Duomenų subjektui (fiziniam asmeniui) aiškia ir paprasta kalba turėtų būti pateikiama:
a) Duomenų subjekto asmens duomenų saugumo pažeidimo pobūdžio aprašymas;
b) tikėtinų Duomenų subjekto asmens duomenų saugumo pažeidimo pasekmių aprašymas;
c) priemonių, kurių Bendrovė ėmėsi arba pasiūlė imtis, kad būtų pašalintas Duomenų subjekto asmens duomenų saugumo pažeidimas, aprašymas;
d) kita reikšminga informacija, susijusi su Duomenų subjekto asmens duomenų saugumo pažeidimu, kuri turėtų būti pateikta Duomenų subjektui (fiziniam asmeniui);
e) už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingo darbuotojo ir duomenų apsaugos pareigūno (jei toks yra paskirtas) kontaktiniai duomenys.  

6.3. Duomenų subjektai apie jų asmens duomenų saugumo pažeidimą informuojami  tiesiogiai,  siunčiant jiems pranešimą el. paštu, SMS, paštu ar pan. Toks pranešimas turėtų būti atskirtas nuo kitos jiems siunčiamos informacijos ar standartiniu pranešimu.
6.4. Kai tiesioginio pranešimo Duomenų subjektui pateikimas pareikalautų neproporcingai daug Bendrovės pastangų apie įvykusį asmens duomenų saugumo pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria Duomenų subjektai būtų informuojami taip pat efektyviai. (Pvz., pranešimas Duomenų subjekto interneto svetainėje, SMS, el. paštu, žiniasklaidoje ar pan.)
6.5. Bendrovės vadovas arba už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas turi pasirinkti tokius pranešimo Duomenų subjektui (fiziniam asmeniui) būdus, kurie maksimaliai didintų galimybę tinkamai pranešti apie Duomenų subjektų asmens duomenų saugumo pažeidimą arba gali pasirinkti kelis tokio pranešimo Duomenų subjektui apie Duomenų subjektų asmens duomenų saugumo pažeidimą būdus.  

6.6. Esant asmens duomenų saugumo pažeidimui, pranešimo Duomenų subjektui teikti nereikia, jeigu:
a) Bendrovė jau įgyvendino tinkamas technines ir organizacines apsaugos priemones ir tokios priemonės taikytos ir Duomenų subjektų asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio;
b) iš karto po pažeidimo Bendrovė ėmėsi tokiu priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus Duomenų subjektų (fizinių asmenų) teisėms ir laisvėms;
c) arba toks pranešimas apie Duomenų subjektų asmens duomenų saugumo pažeidimą, pareikalautų neproporcingai daug Bendrovės pastangų susisiekti su Duomenų subjektais. (Pvz., kai jų kontaktiniai duomenys buvo prarasti dėl pažeidimo arba nežinomi) Tokiu atveju vietoj to apie Duomenų subjektų asmens duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria Duomenų subjektai būtų informuojami taip pat efektyviai.

6.7. Bendrovės vadovas arba už Duomenų subjektų asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas darbuotojas atliekant Duomenų subjektų asmens duomenų saugumo pažeidimų tyrimą, privalo ne tik imtis veiksmų Duomenų subjektų asmens duomenų saugumo pažeidimams pašalinti, bet ir tinkamai apie tai informuoti VDAI, Duomenų subjektus ir gebėti įrodyti, kad Bendrovė įvykdė ir Duomenų subjektų asmens duomenų saugumo pažeidimų dokumentavimo pareiga.

7. BAIGIAMOSIOS NUOSTATOS

7.1. Už BDAR ir Taisyklių įgyvendinimą ir jų vykdymo kontrolę Bendrovėje yra atsakingi:
a) Bendrovės vadovas ir už Duomenų subjektų asmens duomenų tvarkymą ir saugojimą atsakingi Bendrovės darbuotojai paskirti Bendrovės vadovo įsakymų;
b) už asmens duomenų saugumo pažeidimų valdymą ir tyrimą Bendrovėje atsakingas asmuo paskirtas Bendrovės vadovo įsakymų.

7.2. Taisyklės peržiūramos ne rečiau kaip kartą per 1 (vienerius) metus ir, esant poreikiui, atnaujinamos.
7.3. Už Duomenų subjektų asmens duomenų tvarkymą ir saugojimą atsakingi Bendrovės darbuotojai paskirti Bendrovės vadovo įsakymų su Taisyklėmis susipažindinami pasirašytinai.