MB “GYNYBA” ASMENS DUOMENŲ TVARKYMO
TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo MB „Gynyba“ tvarkos aprašas (toliau – Aprašas) reglamentuoja asmens duomenų tvarkymo tikslus, subjektų, tvarkančių asmens duomenis, pareigas, duomenų subjektų teisių įgyvendinimo tvarką, organizacines asmens duomenų saugumo priemones.
2. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 94/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ) ir kitais teisės aktais.
3. Bendrijoje tvarkomi visų Bendrijos narių – esamų ir buvusių darbuotojų, taip pat kitų asmenų, įstatymų nustatyta tvarka sutartinių ir kitų teisinių santykių pagrindu pateikusių informaciją, asmens duomenys.
4. Taisyklėse vartojamos sąvokos atitinka sąvokas, apibrėžtas ADTAĮ ir BDAR.
5. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ ir BDAR taikymo srities bei prieštarauti ADTAĮ ir BDAR nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.
6. Asmens duomenų valdytojas yra – MB ,,Gynyba“, juridinio asmens kodas 304813417, duomenys kaupiami ir saugomi Juridinių asmenų registre. Registracijos adresas: Liucijanavos 111A, Kaunas, elektroninio pašto adresas: [email protected], mob. +37061604629.
7. Bendrijos nariai, įgalioti tvarkyti klientų asmens duomenis, privalo laikytis šių Taisyklių ir būti pasirašytinai su jomis supažindinti. Bendrijos darbuotojai, atlikdami savo pareigas ir tvarkydami klientų asmens duomenis, privalo laikytis konfidencialumo ir saugumo reikalavimų, nurodytų šiose Taisyklėse.
8. Pagrindinės sąvokos:
8.1. Asmenys įgalioti tvarkyti asmens duomenis – Bendrijos nariai, turintys teisę tvarkyti asmens Bendrijoje tvarkomus asmens duomenis.
8.2. Klientas – asmuo, su bendrija sudaręs mokymo paslaugų sutartį.
8.3. Mokymai – tai Bendrijos organizuojami ir vykdomi Apsaugos darbuotojo ir Šaunamojo ginklo laikymo, nešiojimosi ir panaudoji mokymai, į kuriuos patekti ir dalyvauti asmeniui suteikta teisė.
8.4. Mokymo sutartis – tai dokumentas, įskaitant ir elektroninį, patvirtinantis tarp Įmonės ir asmens sudarytą sutartį ir suteikiantis asmeniui teisę dalyvauti konkrečiuose Mokymuose.
II SKYRIUS
PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
9. Bendrijos nariai, atlikdami savo pareigas ir tvarkydami kliento duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų:
9.1. asmens duomenys tvarkomi teisėtai ir sąžiningai. Bendrija asmens duomenis tvarko vadovaudamasi ADTAĮ, ir kitais asmens duomenų tvarkymą reglamentuojančiais teisės aktais;
9.2. asmens duomenys renkami Taisyklių 11 punkte apibrėžtais tikslais, ir po to tvarkomi su šiais tikslais suderintais būdais;
9.3. asmens duomenys tikslūs ir, jei reikia asmens duomenų tvarkymui, nuolat atnaujinami pagal Lietuvos Respublikos registro (toliau – Registro) nuostatus. Asmens duomenys atnaujinami ne rečiau kaip 2 kartus per metus, t.y. suformavus naujas mokymo grupes. Duomenys tikslinami ir atnaujinami, kai tik duomenų subjektas praneša apie jų pasikeitimą. Bendrija imasi visų pagrįstų priemonių siekdama užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi;
9.4. asmens duomenys adekvatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti, siekiant konkrečių tikslų, nurodytų Taisyklių 11 punkte.
10. Asmens duomenų tvarkymo principų laikymąsi užtikrina Bendrijos vadovas, imdamasis atitinkamų organizacinių priemonių (įsakymai, pavedimai).
III SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI IR TEISINIS PAGRINDAS
11. Bendrijos asmens duomenų tvarkymo tikslai nustatomi vadovaujantis:
11.1. Lietuvos Respublikos civiliniu kodeksu, Lietuvos Respublikos švietimo įstatymu, Lietuvos Respublikos mažųjų bendrijų įstatymu;
11.2. 2019 m. gruodžio 4 d. įsigaliojus LR policijos generalinio komisaro įsakymui Nr. 5-V-905 “Dėl neformaliojo profesinio mokymo apsaugos darbuotojo mokymo programos patvirtinimo”;
11.3. 2020 m. lapkričio 11 d. įsigaliojus LR policijos generalinio komisaro įsakymui Nr. 5-V-922 “Dėl šaunamojo ginklo laikymo, nešiojimosi ir panaudojimo mokymo programos patvirtinimo”;
11.4. MB „Gynyba“ nuostatais, MB „Gynyba“ nuomojamų tirų, šaudyklų eksploatavimo ir ginklo panaudojimo juose taisyklėmis, MB „Gynyba“ Šaunamojo ginklo laikymo, nešiojimosi ir panaudojimo mokymo kursų organizavimo taisyklėmis, MB „Gynyba“ Apsaugos darbuotojo mokymo kursų organizavimo taisyklėmis“ ir kitais LR teisės aktais.
12. Asmens duomenys Bendrijoje tvarkomi šiais tikslais ir BDAR 6 straipsnio 1 dalyje nustatytais teisiniais pagrindais:
12.1. Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais. Duomenų subjektų kategorija: Bendrijos nariai ir klientai. Šiuo teisiniu pagrindu Bendrija tvarko:
12.1.1. tinkamos komunikacijos su Bendrijos nariais ne darbo metu tikslu – gyvenamosios vietos adresai, asmeniniai telefono numeriai arba asmeniniai elektroninio pašto adresai;
12.1.2. tinkamos komunikacijos su klientais ne darbo metu tikslu – asmeniniai telefono numeriai ir/arba asmeniniai elektroninio pašto adresai;
12.1.3. Bendrijos veiklos informavimo bendruomenei ir/ar visuomenei tikslu – Bendrijos narių vardas, pavardė, kvalifikacija, apie Bendrijos veiklą sukurta filmuota medžiaga ir/ar nuotraukos, kur užfiksuotas Bendrijos narys ar klientas;
12.2. Tvarkyti duomenis būtina siekiant įvykdyti mokymo sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Šiuo teisiniu pagrindu asmens duomenys tvarkomi sudarant sutartis dėl:
12.2.1. mokymo sutarčių sudarymo (apskaitos) tikslu yra tvarkoma: klientų vardas, pavardė, asmens kodas, telefonų numeris ir/arba elektroninio pašto adresas, žinios apie profesiją/išsilavinimą.
12.2.2. mokymo žurnalo pildymo tikslu – kliento vardas, pavardė, asmens kodas, grupė, mokslo metai, lankomumas, žinių įvertinimas;
12.2.3. mokymų baigimo pažymėjimų išdavimo tikslu – kliento vardas, pavardė, asmens kodas, pažymėjimo serija, numeris, išdavimo data, registracijos numeris, mokymo programos pavadinimas.
12.2.4. Bendrijos vidaus administravimo tikslu tvarkomi šie Bendrijos narių asmens duomenys: vardas, pavardė, asmens kodas, el. paštas, slaptažodis, telefono Nr., gimimo data, foto nuotrauka, gyvenamosios vietos adresas, išsilavinimą/ kvalifikaciją patvirtinantys dokumentai (diplomas, sertifikatai ir kt.).
12.3. Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (įstatymuose nustatytų Bendrijai taikomų pareigų vykdymas). Šiuo teisiniu pagrindu Bendrija tvarko:
12.3.1. Mokymų baigiamųjų egzaminų rezultatų laikymo/saugojimo tikslu – kliento vardas, pavardė, asmens kodas, egzamino pavadinimas, data, įvertinimas, registracijos numeris, mokymo programos pavadinimas.
12.3.2. pagal LR Registro nuostatus – tvarkomi klientų duomenys: vardas, pavardė, asmens kodas, gyvenamosios vietos adresas, telefono numeris, mokymų baigimo pažymėjimo kopija.
12.3.2. pagal LR Registro nuostatus – tvarkomi Bendrijos narių duomenys: vardas, pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, telefono numeris, elektroninis paštas, išsilavinimą/kvalifikaciją patvirtinantys dokumentai.
IV. SKYRIUS
SUBJEKTŲ, TVARKANČIŲ ASMENS DUOMENIS, PAREIGOS
13. Bendrija, kaip duomenų valdytojas, privalo:
13.1. užtikrinti duomenų subjekto teisių įgyvendinimą ir vykdyti teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytas asmens duomenų valdytojo pareigas;
13.2. tvirtinti asmens duomenų apsaugą ir tvarkymą reglamentuojančius teisės aktus;
13.3. užtikrinti darbuotojų mokymą ir kvalifikacijos tobulinimą asmens duomenų teisinės apsaugos srityje;
13.4. supažindinti su šiuo Aprašu Bendrijos narius elektroniniu paštu bei paskelbti Aprašą Bendrijos paslaugų informacinėje sistemoje (tinklalapyje);
13.5. užtikrinti, kad asmens duomenis Bendrijos tvarkomose informacinėse sistemose tvarkytų tik tie asmenys, kuriems tai būtina vykdomoms darbinėms funkcijoms atlikti, ir tik tokios apimties, kuri būtina numatytiems tikslams pasiekti;
13.6. užtikrinti asmens duomenų saugojimą techninėmis priemonėmis tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi;
13.7. užtikrinti, kad duomenų subjekto teisės būtų tinkamai įgyvendintos ir visa informacija duomenų subjektui būtų pateikiama aiškiai, suprantamai ir priimtina forma.
14. Bendrijos nariai, tvarkantys asmens duomenis, privalo:
14.1. laikytis BDAR, ADTAĮ ir kitų norminių bei Bendrijos vidaus teisės aktų, reglamentuojančių duomenų apsaugą;
14.2. užtikrinti, kad asmens duomenys būtų renkami apibrėžtais ir teisėtais tikslais ir toliau nebūtų tvarkomi su tais tikslais nesuderinamu būdu;
14.3. tvarkyti asmens duomenys tiksliai, sąžiningai ir teisėtai;
14.4. užtikrinti, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami;
14.5. užtikrinti, kad asmens duomenys būtų tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;
14.6. ištaisyti, papildyti, sunaikinti netikslius ar neišsamius duomenis arba sustabdyti jų tvarkymą;
14.7. tvarkyti asmens duomenis taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
14.8. užtikrinti, kad asmens duomenys būtų tvarkomi laikantis organizacinių ir techninių duomenų saugumo priemonių, nurodytų šiame Apraše ir kituose tvarkomų informacinių sistemų dokumentuose;
14.10. užtikrinti elektroninių ir (ar) popierinių dokumentų su asmens duomenimis sunaikinimą, pasibaigus nustatytiems asmens duomenų saugojimo terminams;
14.11. užtikrinti tinkamų organizacinių priemonių, skirtų apsaugoti tvarkomus asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, įgyvendinimą.
V SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS
15. Duomenų subjektas, kurio duomenys tvarkomi Bendrijos veikloje, turi šias teises:
15.1. žinoti (būti informuotas) apie savo duomenų tvarkymą;
15.2. susipažinti su savo duomenimis ir kaip jie yra tvarkomi;
15.3. reikalauti ištaisyti netikslius arba papildyti neišsamius asmens duomenis;
15.4. reikalauti ištrinti duomenis („teisė būti pamirštam“);
15.5. reikalauti apriboti duomenų tvarkymą;
15.6. teisę į duomenų perkeliamumą;
15.7. teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas duomenų subjekto sutikimo pagrindu.
16. Aprašo 15 punkte numatytos teisės gali būti įgyvendintos tik BDAR nustatytais pagrindais ir tvarka.
17. Bendrija privalo sudaryti sąlygas duomenų subjektui įgyvendinti šiame skyriuje nustatytas teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti:
17.1. valstybės saugumą ar gynybą;
17.2. viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą;
17.3. svarbius valstybės ekonominius ar finansinius interesus;
17.4. tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą;
17.5. duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.
18. Duomenų subjektas, Bendrijos vadovui pateikęs asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, turi teisę susipažinti su Bendrijos tvarkomais jo duomenimis bei gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius vienerius metus.
19. Bendrija, gavusi duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo dienos atsako, ar duomenų subjekto asmens duomenys yra tvarkomi, ir pateikia prašomus duomenis arba nurodo atsisakymo tenkinti tokį prašymą priežastis. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu.
20. Jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Bendriją, kuri patikrina asmens duomenis ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdama, bet ne vėliau kaip per 10 darbo dienų, ištaiso neteisingus, netikslius, papildo neišsamius Bendrijos tvarkomus asmens duomenis ir (ar) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, kol bus ištaisyti neteisingi, netikslūs, papildyti neišsamūs asmens duomenys ar asmens duomenys bus sunaikinti.
21. Kilus abejonėms dėl duomenų subjekto pateiktų asmens duomenų teisingumo, Bendrija sustabdo tokių duomenų tvarkymo veiksmus, juos patikrina ir patikslina. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.
22. Duomenų subjektas, norėdamas įgyvendinti kitas šiame skyriuje numatytas teises, turi teisę pateikti rašytinį prašymą, adresuotą Bendrijos vadovui, kuriame turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti ir pageidavimą. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiasi duomenų subjekto atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą ir pridėti atstovavimą patvirtinantį dokumentą.
23. Duomenų subjektas taip pat turi teisę teikti Bendrijai pasiūlymą, skundą ar kitokį kreipimąsi, susijusi su asmens duomenų tvarkymu, laikantis tokios pačios tvarkos, kaip ir teikiant prašymą.
24. Atsakymas į prašymą (informacija apie veiksmus, kurių imtasi gavus prašymą) pateikiamas ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis.
25. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, Bendrija turi teisę atsisakyti imtis veiksmų pagal prašymą. Tokiam atsisakymui privalo būti duomenų apsaugos pareigūno pritarimas.
arba pasibaigus duomenų saugojimo terminui).
26. Bendrijos veiksmai ar neveikimas, susiję su duomenų subjekto teisių įgyvendinimu, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai.
VI SKYRIUS
ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS
27. Bendrija taiko technines ir organizacines priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo (praradimo, sugadinimo ar sunaikinimo).
28. Už tinkamą ir teisėtą asmens duomenų tvarkymą Bendrijoje yra atsakingi Bendrijos vadovo įsakymu paskirti (įgalioti) Bendrijos nariai.
29. Dokumentai, jų kopijos ir kita medžiaga, kuriuose yra asmens duomenys, taip pat jų kopijos saugomi Bendrijos patalpose, vietinio tinklo srityse, kompiuterių standžiuosiuose diskuose.
30. Dokumentai, jų kopijos ir kita medžiaga, kuriuose yra asmens duomenys, negali būti laikomi tokiose vietose, kur neturintys teisės asmenys galėtų su jais susipažinti.
31. Bendrijos darbuotojai privalo užtikrinti apsaugą nuo neteisėtos fizinės prieigos prie asmens duomenų šiomis priemonėmis: rakinamos patalpos, įrengta veikianti asmenų įėjimo į patalpas kontrolės sistema (fizinė arba elektroninė), apribotas asmenų patekimas į atitinkamas patalpas ar kitos reikiamos priemonės.
32. Asmuo, tvarkantis asmens duomenis, privalo laikytis šio Aprašo IV skyriuje nustatytų pareigų ir taip pat laikytis šių reikalavimų:
32.1. tiek darbo Bendrijoje laikotarpiu, tiek jam pasibaigus, laikytis konfidencialumo reikalavimų ir neatskleisti tretiesiems asmenims bet kokios su asmens duomenimis susijusios informacijos, su kuria jis susipažino vykdydamas savo funkcijas, išskyrus atvejus, kai tokia informacija yra vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas;
32.2. nedelsiant pranešti apie bet kokius asmens duomenų saugos pažeidimus duomenų apsaugos pareigūnui ir struktūrinio padalinio vadovui;
32.3. nedelsiant pakeisti slaptažodį, jeigu iškilo įsilaužimo į kompiuterį su saugomais asmens duomenimis grėsmė ar kilo įtarimas, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.;
32.4. užtikrinti, kad dokumentai ir kita medžiaga, kurioje yra asmens duomenų, būtų tinkamai laikoma ir saugoma;
33. Bendrijos kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).
34. Asmens duomenys esantys elektroninėje erdvėje yra saugomi minimaliai tiek, kiek tai būtina Bendrijos teisėtiems tikslams pasiekti. Prieigai prie elektroninėje erdvėje saugomų Asmens duomenų yra sukuriami slaptažodžiai, su kuriais teise susipažinti turi tik Aprašo 28 p. nurodyti asmenys. Siekiant užtikrinti asmens duomenų saugumą, slaptažodžiai yra reguliariai keičiami, atnaujinami, o kompiuteriniuose įrenginiuose diegiamos antivirusinės programos. Nebereikalingi asmens duomenys, esantys elektroninė erdvėje, yra ištrinami kompiuterinėmis programomis.
35. Asmens duomenų kopijos, kiti duomenys esantys popieriniuose variantuose yra saugomi minimaliai tiek, kiek tai būtina Įmonės teisėtiems tikslams pasiekti, atsižvelgiant į kitų LR teisės aktų, reglamentuojančių apskaitos, archyvavimo reikalavimus). Nebereikalingi asmens duomenys yra naikinami popierinių smulkintuvu.
VII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
36. Aprašas yra priimamos ir tvirtinamos Bendrijos vadovu įsakymu.
37. Bendrijos nariai su šiuo Aprašu supažindinami pasirašytinai.
38. Bendrijos vadovas ne rečiau kaip kartą per dvejus metus įvertina Aprašo nuostatų taikymo praktiką, teisės aktų, reglamentuojančių asmens duomenų apsaugą, pakeitimus, aktualią teismų praktiką asmens duomenų apsaugos srityje ir, esant poreikiui, inicijuoja Aprašo atnaujinimą.
39. Bendrijos nariai, pažeidę šio Aprašo reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.
40. Aprašas skelbiamas Bendrijos interneto svetainėje http://www.gynyba.eu.