VšĮ„Gimnastika ir aš“ bendrosios asmens duomenų apsaugos taisyklės

PATVIRTINTA
Direktorė
2019 m. spalio 21 d. įsakymu Nr. 1
Dėl asmens duomenų apsaugos
taisyklių tvirtinimo

VIEŠOSIOS ĮSTAIGOS „GIMNASTIKA IR AŠ“
BENDROSIOS ASMENS DUOMENŲ APSAUGOS TAISYKLĖS,
priimtos pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo duomenų judėjimo nuostatas

  1. SKYRIUS

PAGRINDINĖS SĄVOKOS

  1. Viešoji įstaiga „Gimnastika ir aš“, įstaigos kodas 304170960, buveinės adresas Buivydiškių g. 12A, LT-07194 Vilnius; kontaktai: el. p. vilnius@intergym.lt, tel. nr. +370 (678) 85 556. Toliau asmens duomenų tvarkymo ir naudojimo taisyklėse „Įstaiga“.

  2. Duomenų subjektas – reiškia fizinį asmenį, iš kurio Įstaiga gauna ir tvarko asmens duomenis.

  3. Darbuotojas – reiškia asmenį, kuris su Įstaiga yra sudaręs darbo ar panašaus pobūdžio sutartį ir Įstaigos vadovo sprendimu yra paskirtas tvarkyti Asmens duomenis arba tokius duomenis tvarko pagal savo pareigybiniuose nuostatose įvardytas darbo funkcijas arba, kurio asmens duomenys yra tvarkomi.

  4. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

  5. Duomenų gavėjas – juridinis arba fizinis asmuo arba valstybės institucija, kuriem teikiami asmens duomenys.

  6. Duomenų teikimas – asmens duomenų atskleidimas, perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).

  7. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.

  8. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (arba) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose.

  9. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojas ir (arba) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose.

  10. Specialių kategorijų asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.

  11. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti specialių kategorijų asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią.

  12. Trečiasis asmuo – juridinis ar fizinis asmuo, išskyrus duomenų subjektą, duomenų valdytoją, duomenų tvarkytoją ir asmenis, kurie yra tiesiogiai duomenų valdytojo ar duomenų tvarkytojo įgalioti tvarkyti duomenis.

  13. Reglamentas – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatas

  14. Taisyklės – šios „VšĮ „Gimnastika ir aš“ bendrosios asmens duomenų apsaugos taisyklės“.

  1. SKYRIUS

BENDROSIOS NUOSTATOS

  1. Taisyklės reglamentuoja Įstaigos ir jos darbuotojų veiksmus, tvarkant Asmens duomenis, naudojant Įstaigoje įrengtas automatines ir neautomatines asmens duomenų tvarkymo priemones, taip pat nustato Duomenų subjekto teises, asmens duomenų apsaugos įgyvendinimo priemones ir kitus su asmens duomenų tvarkymu susijusius klausimus.

  2. Taisyklės paruoštos remiantis:

    1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatomis;

    2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatomis;

    3. Lietuvos Respublikos švietimo įstatymo nuostatomis;

    4. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“ nuostatomis;

    5. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1 T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ nuostatomis;

    6. Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga nuostatomis.

  1. Šių Taisyklių reikalavimai privalomi visiems Darbuotojams, kurie tvarko Įstaigoje esančius asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis Duomenų tvarkytojai, kurie teikdami Įstaigai duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis.

  1. SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

  1. Įstaiga, tvarkydama asmens duomenis, vadovaujasi šiais principais:

  1. Asmens duomenis tvarko tik teisėtai ir šiose Taisyklėse apibrėžtiems tikslams pasiekti;

  2. Asmens duomenys yra tvarkomi tikslingai, sąžiningai, laikantis teisės aktų reikalavimų;

  3. Asmens duomenis tvarko taip, kad jie būtų tikslūs, esant jų pasikeitimui nuolat atnaujinami; netikslūs ar neišsamūs duomenys ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas;

  4. Asmens duomenys tvarkomi tik tokia apimtimi, kuri yra reikalinga asmens duomenų tvarkymo tikslams pasiekti;

  5. Asmens duomenys saugomi tokia forma ir tiek laiko, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.

  1. Asmens duomenys Įstaigoje tvarkomi šiais pagrindiniais tikslais:

  1. Neformalaus vaikų ir suaugusiųjų ugdymo, sporto ir sveikatingumo bei saviraiškos poreikių tenkinimo paslaugų teikimo tikslu;

  2. Įstaigos veiklos informavimo bendruomenei ir visuomenei (vaikų sporto pasiekimai, nuotraukos, filmuota medžiaga);

  3. Vidaus administravimo tikslu;

  4. Personalo valdymui, personalo dokumentų rengimui, dokumentų valdymui;

  5. Turimų materialinių ir finansinių išteklių valdymui ir naudojimui;

  6. Auditui.

  1. SKYRIUS

ASMENS DUOMENYS IR PRIVATUMO POLITIKA

  1. Įstaigos renkamų ir valdomų duomenų kategorijos:

Asmens duomenų kategorijos

Įstaigos klientų (nepilnamečių asmenų) asmens duomenys

Įstaigos klientų (pilnamečių asmenų) asmens duomenys

Specialių kategorijų asmens duomenys (duomenys apie sveikatą)

Įstaigos nepilnamečių asmenų atstovų (tėvų/ globėjų/ rūpintojų) asmens duomenys

Įstaigos darbuotojų asmens duomenys

Paslaugų ir (ar) prekių teikėjų asmens duomenys

  1. Įstaigos renkamų ir valdomų duomenų aprašymas:

Duomenų kategorijos

Duomenų aprašymas

Įstaigos klientų (nepilnamečių asmenų) asmens duomenys

vardas, pavardė, asmens kodas, gimimo data, foto nuotrauka (gavus atskirą atstovų sutikimą)

Įstaigos klientų (pilnamečių asmenų) asmens duomenys

vardas, pavardė, amžius, telefono numeris, el. pašto adresas

Specialių kategorijų asmens duomenys (duomenys apie sveikatą)

duomenys apie nepilnamečio asmens sveikatą pagal formą N. 027/a, kiek reikalinga suteikti neformalaus ugdymo (sporto treniravimo) paslaugas

Įstaigos nepilnamečių asmenų atstovų (tėvų/ globėjų/ rūpintojų) asmens duomenys

vardas, pavardė, telefono numeris, el. pašto adresas, banko sąskaitos numeris

Įstaigos darbuotojų asmens duomenys

plačiau žr. Darbuotojų asmens duomenų tvarkymo taisyklėse.

Paslaugų ir (ar) prekių teikėjų asmens duomenys

vardas, pavardė, asmens kodas, gyv. adresas, telefono numeris, el. pašto adresas, individualios veiklos/ verlso liudijimo pažymos kopija, banko sąskaitos numeris

  1. Įstaigos renkamų ir valdomų duomenų kategorijos, tikslai ir teisinis pagrindas:

Duomenų kategorijos

Duomenų tvarkymo tikslas

Teisinis pagrindas

Įstaigos klientų (nepilnamečių asmenų) asmens duomenys

Neformalaus vaikų ir suaugusiųjų ugdymo, sporto ir sveikatingumo bei saviraiškos poreikių tenkinimo paslaugų teikimo tikslu;

Įstaigos veiklos informavimo bendruomenei ir visuomenei (vaikų sporto pasiekimai, nuotraukos, filmuota medžiaga) tikslu;

Teisės aktų reikalavimai

Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (Reglamento 6 str. 1a dalis.); Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (Reglamento 6 str. 1c dalis.)

Įstaigos klientų (pilnamečių asmenų) asmens duomenys

Neformalaus vaikų ir suaugusiųjų ugdymo, sporto ir sveikatingumo bei saviraiškos poreikių tenkinimo paslaugų teikimo tikslu;

Teisės aktų reikalavimai

Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (Reglamento 6 str. 1a dalis.); Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (Reglamento 6 str. 1c dalis.)

Specialių kategorijų asmens duomenys (duomenys apie sveikatą)

Neformalaus vaikų ir suaugusiųjų ugdymo, sporto ir sveikatingumo bei saviraiškos poreikių tenkinimo paslaugų teikimo tikslu;

Teisės aktų reikalavimai

Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (Reglamento 6 str. 1a dalis.); Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (Reglamento 6 str. 1c dalis.)

Įstaigos nepilnamečių asmenų atstovų (tėvų/ globėjų/ rūpintojų) asmens duomenys

Neformalaus vaikų ir suaugusiųjų ugdymo, sporto ir sveikatingumo bei saviraiškos poreikių tenkinimo paslaugų teikimo tikslu;

Teisės aktų reikalavimai

Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (Reglamento 6 str. 1c dalis.)

Įstaigos darbuotojų asmens duomenys

Personalo valdymo, personalo dokumentų rengimo, dokumentų valdymo tikslu;

Turimų materialinių ir finansinių išteklių valdymo ir naudojimo tikslu;

Audito tikslu;

Teisės aktų reikalavimai

Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (Reglamento 6 str. 1a dalis.); Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė (Reglamento 6 str. 1c dalis.)

Paslaugų ir (ar) prekių teikėjų asmens duomenys

Klientų aptarnavimo tikslu;

Konfidencialios informacijos apsaugos tiklsu;

Paslaugų ar prekių tiekimo tikslu;

Teisės aktų reikalavimai

Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais (Reglamento 6 str. 1a dalis.)

  1. Valdomų Asmens duomenų šaltiniai ir saugojimo terminai:

Duomenų kategorijos

Šaltinis

Duomenų saugojimo terminas

Įstaigos klientų (nepilnamečių asmenų) asmens duomenys

Tiesiogiai iš Duomenų subjekto atstovų

Saugoma 10 metų pagal įstaigos patvirtintą dokumentacijos planą.

Įstaigos klientų (pilnamečių asmenų) asmens duomenys

Tiesiogiai iš Duomenų subjekto

Saugoma 10 metų pagal įstaigos patvirtintą dokumentacijos planą.

Specialių kategorijų asmens duomenys (duomenys apie sveikatą)

Tiesiogiai iš Duomenų subjekto atstovų

Saugoma iki neformalaus ugdymo paslaugų teikimo sutarties galiojimo pabaigos

Įstaigos nepilnamečių asmenų atstovų (tėvų/ globėjų/ rūpintojų) asmens duomenys

Tiesiogiai iš Duomenų subjekto

Saugoma 10 metų pagal įstaigos patvirtintą dokumentacijos planą.

Įstaigos darbuotojų asmens duomenys

Tiesiogiai iš Duomenų subjekto

Bylų saugojimo terminai nurodyti vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 ,,Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo”.

Paslaugų ir (ar) prekių teikėjų asmens duomenys

Tiesiogiai iš Duomenų subjekto

Bylų saugojimo terminai nurodyti vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 ,,Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo”.

  1. SKYRIUS

NUOTRAUKOS (ATVAIZDO)/ FILMUOTOS MEDŽIAGOS IR GARSO ĮRAŠO RINKIMO TIKSLAS IR APIMTIS

  1. Nuotraukos (atvaizdo)/ filmuotos medžiagos ir garso įrašo rinkimo ir saugojimo tikslas – užtikrinti Duomenų subjektų neformalaus ugdymo renginių veiklos sklaidą viešojoje erdvėje ir skatinti dalyvauti organizuojamose sporto renginiuose, šventėse.

  2. Atvaizdas/ filmuota medžiaga ir garso įrašas renkamas tik gavus išankstinį Duomenų subjektų sutikimą. Nepilnamečius asmenis atstovauja jų tėvai (globėjai), kurie suteikia sutikimą rinkti nepilnamečių asmenų atvaizdus ir garso įrašus ir juos publikuoti.

  3. Nuotraukos ar vaizdo įrašas, vardas ir pavardė, garso įrašas būtų naudojamas interneto svetainėje www.intergym.lt, Įstaigos stenduose ir (ar) socialiniuose tinkluose.

  4. Nuotraukos (atvaizdo)/ filmuotos medžiagos ir garso įrašo rinkimą atlieka Įstaigos darbuotojai ir asmenys su kuriais Įstaiga sudariusi paslaugų sutartis (pvz. fotografai, žurnalistai).

  5. Nuotraukos (atvaizdai)/ filmuota medžiaga ir garso įrašas renkami Įstaigos veiklos adresais: Buivydiškių g. 12A, Vilnius ir Baltų pr. 49F, Kaunas.

  6. Duomenys kaupiami ir saugomi 2 metus nuo duomenų gavimo momento.

  7. Draudžiama vykdyti nuotraukų (atvaizdų)/ filmuotos medžiagos ir garso įrašo rinkimą patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą (pvz., tualetuose, persirengimo kambariuose ir pan.).

  8. Įstaiga užtinkrina, kad prieš nuotraukų (atvaizdų)/ filmuotos medžiagos ir garso įrašo rinkimą Duomenų subjektai yra supažindinami su jų teisėmis, be kita ko, teise nesutikti su nuotraukos (atvaizdo)/ filmuotos medžiagos rinkimu.

  1. SKYRIUS

ASMENS DUOMENŲ RINKIMO TVARKA

  1. Duomenų subjektai pateikia Įstaigai duomenis pagal nustatytos formos anketą/ sutartį, registracijos formą internete.

  2. Duomenų subjektų vardas, pavardė, asmens kodas – iš asmens tapatybę patvirtinančio asmens dokumento.

  3. Gyvenama vieta, tėvų (globėjų, rūpintojų) vardai ir pavardės – tiesiogiai iš Duomenų subjekto – ugdytinių atstovų.

  4. Duomenys apie sveikatą – iš medicininių pažymų pagal formą Nr. 027/a.

  1. SKYRIUS

ASMENS DUOMENŲ SAUGUMAS IR TVARKYMAS

  1. Vadovaudamiesi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Europos Sąjungos ir kt. duomenų apsaugą reglamentuojančiais teisės aktais, Įstaiga taiko priemones, kurios užkirstų kelią neteisėtai prieigai arba neteisėtam Duomenų subjekto duomenų panaudojimui. Įstaiga užtikrina, jog Duomenų subjekto pateikiami duomenys būtų apsaugoti nuo bet kokių neteisėtų veiksmų: neteisėto Asmens duomenų pakeitimo, atskleidimo ar sunaikinimo, asmens tapatybės vagystės, sukčiavimo bei, kad Asmens duomenų apsaugos lygis atitiktų Lietuvos Respublikos teisės aktų nustatytus reikalavimus.

  2. Įstaiga naudoja atitinkamas verslo sistemas ir procedūras, leidžiančias apsaugoti ir ginti Duomenų subjekto Įstaigai patikėtus asmeninius duomenis. Įstaiga naudoja saugumo sistemas, technines ir fizines priemones, ribojančias prieigą prie Duomenų subjekto asmeninių duomenų ir jų panaudojimo Įstaigos serveriuose. Tik specialius leidimus turintys Įstaigos darbuotojai turi teisę matyti Duomenų subjekto asmeninius duomenis, pateiktus  Įstaigai sutarčių pagrindu.

  3. Asmens duomenys tvarkomi neautomatiniu būdu ir automatiniu būdu naudojant Įstaigoje įrengtas asmens duomenų tvarkymo priemones.

  4. Įstaiga naudoja šias duomenų bazes/ programas valdant Asmens duomenis: verslo valdymo sistema „CRM“, Google docs, Microsoft word/ excell programos. Prie visų šių programų prieigą turi tik atitinkamas darbuotojas, kuris pagal savo pareigybes turi teisę prisijungti prie sistemų prieš tai suvedus priskirtą slaptažodį ir (ar) prieiti prie užraktų saugomų popierinių asmens bylų/ rinkmenų.

  5. Popierinėje laikmenoje laikomi dokumentai, susiję su darbuotojais specialiose rakinamose spintose prie kurių prieiga yra pilna apimtimi apribota. Kietasis diskas su duomenimis saugomas seife.

  6. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai (visais atvejais ne rečiau kaip kas 3 (tris) mėn.), o taip pat susidarius tam tikroms aplinkybėms (pvz., pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.) slaptažodis turi būti pakeistas nedelsiant. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.

  7. Duomenų subjektų Asmens duomenys gali būti renkami ir saugomi tik Įstaigai nuosavybės teise priklausančiuose kompiuteriuose ar kitose informacinių technologijų priemonių įrenginiuose. Draudžiama saugoti Asmens duomenis asmeniniuose Darbuotojų įrenginiuose (pvz., telefonuose, planšetėse ar kt.).

  8. Už kompiuterių priežiūrą atsakingas darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas privalo užtikrinti, kad asmens duomenų rinkmenos nebūtų „matomos“ (angl. shared) iš kitų kompiuterių, o antivirusinės programos atnaujinamos periodiškai.

  9. Atsakingas už kompiuterių priežiūrą darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas daro kompiuteriuose esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas turi jas atstatyti ne vėliau kaip per 3 (tris) darbo dienas.

  10. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia darbuotojo darbo ar panašaus pobūdžio sutartis su Įstaiga, arba kai Įstaigos vadovas atšaukia darbuotojo paskyrimą/ įgaliojimą tvarkyti asmens duomenis.

  11. Duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra Asmens duomenų, saugomos rakinamose spintose arba seifuose. Dokumentai, kuriuose yra Asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje.

  12. Siekdama užtikrinti Asmens duomenų apsaugą, Įstaiga įgyvendina arba numato įgyvendinti šias asmens duomenų apsaugos priemones:

  1. Administracines  (saugaus dokumentų ir kompiuterinių duomenų bei jų archyvų tvarkymo, taip pat įvairių veiklos sričių darbo organizavimo tvarkos nustatymas, personalo supažindinimas su asmens duomenų apsauga ir kt.);

  2. Techninės ir programinės įrangos apsaugos (tarnybinių stočių, informacinių sistemų ir duomenų bazių administravimas, darbo vietų, Įstaigos patalpų priežiūra, operacinių sistemų apsauga, apsauga nuo kompiuterinių virusų ir kt.);

  3. Komunikacijų ir kompiuterių tinklų apsaugos (bendro naudojimo duomenų, programų, nepageidaujamų duomenų paketų filtravimas (angl. firewalling) ir kt.).

  1. Asmens duomenų apsaugos techninės ir programinės priemonės turi užtikrinti:

  1. Operacinių sistemų ir duomenų bazių kopijų saugyklos įrengimą;

  2. Nenutrūkstamo duomenų tvarkymo (apdorojimo) proceso technologiją;

  3. Sistemų veiklos atnaujinimo nenumatytais atvejais strategiją (netikėtumų valdymas);

  4. Autorizuotą duomenų naudojimą, jų nepažeidžiamumą.

  1. Įstaigos pasitelkti Duomenų tvarkytojai ar Tretieji asmenys, kuriuos Įstaiga pasitelkė užsakytoms paslaugoms teikti turi garantuoti reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi. Informuoti Įstaigą apie ketinamas sudaryti sutartis su pagalbiniais duomenų tvarkytojais bei gauti išankstinius rašytinius Įstaigos sutikimus dėl jų paskyrimo.

  1. SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS

  1. Duomenų subjektas turi šias pagrindines teises:

Duomenų subjektų teisės

50.1.

Susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi

Duomenų subjektas turi teisę susipažinti su jo tvarkomais duomenimis, tvarkymo tikslais, saugojimo laikotarpiu, savo teisėmis, informacija ar naudojamas automatizuotas sprendimų priėmimas, įskaitant profiliavimą bei jo loginį pagrindimą (1 priedas).

Duomenų subjektui turi būti atskleisti visi duomenų gavėjai ar jų kategorijos, kuriems jau buvo arba bus atskleisti duomenys.

Ttvarkomus duomenis duomenų subjektui teikti raštu ir neatlygintinai. Tam tikrais atvejais (kai duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai arba neproporcingai, pakartotinai teikia prašymus dėl jų pasikartojančio turinio pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimas duomenų subjektui gali būti apmokestintas, t. y. duomenų valdytojas gali imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba gali atsisakyti imtis veiksmų pagal prašymą. Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

Informaciją pateikti įprastai naudojama elektronine forma, nebent prašoma informaciją pateikti kitaip.

50.2.

Reikalauti ištaisyti savo asmens duomenis

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys pateikdamas papildomą prašymą (2 priedas).

Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenųvaldytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.

50.3.

Nesutikti, kad būtų tvarkomi jo asmens duomenys

Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, įskaitant profiliavimą. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.

Duomenų subjektas apie teisę nesutikti aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

50.4.

Reikalauti ištrinti duomenis („Teisė būti pamirštam“)

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių (3 priedas):

kai asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

kai asmens duomenų subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;

kai asmens duomenų subjektas nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;

kai asmens duomenys buvo tvarkomi neteisėtai;

kai asmens duomenys turi būti ištrinti dėl duomenų valdytojui nustatytos teisinės prievolės;

kai asmens duomenys buvo surinkti informacinės visuomenės paslaugų siūlymo kontekste;

kai duomenų valdytojas viešai paskelbė asmens duomenis ir privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus;

kai asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi ir kai asmens duomenų subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis netaikoma, jeigu duomenų tvarkymas yra būtinas siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę; siekiant laikytis nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; dėl viešojo intereso priežasčių visuomenės sveikatos srityje; archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

50.5.

Teisė į duomenų perkeliamumą

Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi;

duomenys tvarkomi automatizuotomis priemonėmis.

Naudodamasis savo teise į duomenų perkeliamumą, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

Teisė į duomenų perkeliamumą negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

50.6.

Teisė apriboti asmens duomenų tvarkymą

Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų:

asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;

asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba

duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

Kai duomenų tvarkymas yra apribotas pagal aukščiau išvardintus punktus, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl valstybės narės viešojo intereso priežasčių.

  1. Taip pat turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai (A. Juozapavičiaus g. 6, 09310 Vilnius, Tel. (8 5) 271 2804, El. paštas ada@ada.lt).

  1. SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

  1. Įstaiga ir Įstaigos padaliniai, kuriuose renkami ir tvarkomi Duomenų subjekto duomenys, privalo sudaryti sąlygas Duomenų subjektui įgyvendinti pirmiau nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veiklų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

  2. Duomenų subjektai, kurių asmens duomenys tvarkomi, apie tai yra informuojami suteikiant šią informaciją:

  1. Asmens duomenis tvarko Viešoji įstaiga „Gimnastika ir aš“, įstaigos kodas 304170960, buveinės adresas Buivydiškių g. 12A, LT-07194 Vilnius;

  2. Asmens duomenys tvarkomi šiuo tikslu – pagrindinis tiklsas – neformalaus vaikų ir suaugusiųjų ugdymo, sporto ir sveikatingumo bei saviraiškos poreikių tenkinimo paslaugų teikimas;

  3. Asmens duomenys teikiami sveikatos priežiūros įstaigoms, bet kokioms valstybinėms, priežiūros institucijoms, kitoms kontroliuojančioms institucijoms, teisėsaugos institucijoms, teismams, kitoms įstaigoms, kurios teisės aktų nustatyta tvarka turi teisę gauti duomenis. Asmens duomenys šiame Taisyklių papunktyje numatytiems asmens duomenų gavėjams teikiami tik esant vienam iš LR ADTAĮ 5 straipsnyje numatytų asmens duomenų teisėto tvarkymo kriterijų;

  1. Duomenų subjektai, kurių asmens duomenys tvarkomi, turi būti informuojami ne tik apie jų teisę susipažinti su savo asmens duomenimis, bet ir apie teisę reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus.

  2. Duomenų subjekto teisė susipažinti su savo asmens duomenimis procedūrinė įgyvendinimo tvarka:

  1. Duomenų subjektas, pateikęs Įstaigai asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius vienerius metus. Jei prašymą Duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta notaro patvirtinta Duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą. Jei duomenų subjekto atstovo prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu;

  2. Gavus Duomenų subjekto paklausimą dėl jo asmens duomenų tvarkymo ir patikrinus Duomenų subjekto tapatybę, Duomenų subjektui suteikiama informacija, ar su juo susiję asmens duomenys yra tvarkomi, ir pateikiami Duomenų subjektui prašomi duomenys;

  3. Įgyvendinant Duomenų subjekto teises, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. Duomenų subjektui susipažįstant su savo asmens duomenimis, jeigu dokumentuose matomi kitų asmenų duomenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą, šie įrašai turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis;

  4. Gavus Duomenų subjekto prašymą, informacija, ar su juo susiję asmens duomenys yra tvarkomi, Duomenų subjekto prašomi duomenys pateikiami ne vėliau kaip per 30 kalendorinių dienų nuo Duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu. Neatlygintinai tokius duomenis duomenų valdytojas teikia Duomenų subjektui kartą per kalendorinius metus. Teikiant duomenis atlygintinai, atlyginimo dydis neturi viršyti duomenų teikimo sąnaudų. Duomenų teikimo atlyginimo dydį duomenų valdytojas nustato vadovaudamasis Duomenų teikimo duomenų subjektui atlyginimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl Duomenų teikimo duomenų subjektui atlyginimo tvarkos aprašo patvirtinimo“.

  1. Duomenų subjekto teisė nesutikti su savo asmens duomenų tvarkymu procedūrinė įgyvendinimo tvarka:

  1. Duomenų subjektas ADTAĮ 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys;

  2. Duomenų subjekto teisė nesutikti su asmens duomenų teikimu įgyvendinama prieš atliekant asmens duomenų tvarkymo veiksmus, Duomenų subjektą raštu informuojant: apie ketinamą atlikti asmens duomenų tvarkymo veiksmą (teikimą, naudojimą ir pan.); nurodant, jog Duomenų subjektas turi teisę nesutikti su tokiu duomenų tvarkymu; paaiškinant, kad teisiškai pagrįstas nesutikimas turi būti išreiškiamas pateikiant rašytinį pranešimą, kuris duomenų valdytojui gali būti pateikiamas asmeniškai, paštu ar elektroninių ryšių priemonėmis; nustatant protingą terminą, per kurį Duomenų subjektas turi teisę išreikšti savo valią;

  3. Jeigu Duomenų subjektas per nustatytą terminą išreiškia teisiškai pagrįstą nesutikimą, Duomenų valdytojas neatlieka asmens duomenų tvarkymo veiksmų ADTAĮ 5 straipsnio 1 dalies 5 ar 6 punktuose nustatytais atvejais ir Duomenų subjekto prašymu praneša jam apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus, nurodant atsisakymo motyvus.

  1. Duomenų subjekto teisė reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmų procedūrinė įgyvendinimo tvarka:

  1. Jeigu Duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, patikrina asmens duomenis ir Duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdamas ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;

  2. Jeigu Duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir pats ar jo įgaliotas atstovas raštu kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, neatlygintinai patikrina Duomenų subjekto asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;

  3. Duomenų valdytojas, Duomenų subjekto ar jo įgalioto atstovo prašymu sustabdęs Duomenų subjekto asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus ištaisyti ar sunaikinti (Duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:

      1. Turint tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;

      2. Jei Duomenų subjektas tiesiogiai ar per įgaliotą atstovą duoda sutikimą toliau tvarkyti savo asmens duomenis;

      3. Jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

  1. Duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, praneša Duomenų subjektui ar jo įgaliotam atstovui apie jo prašymu atliktą ar neatliktą Duomenų subjekto asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą;

  2. Duomenų subjekto asmens duomenys taisomi ir naikinami arba jų tvarkymo veiksmai sustabdomi pagal Duomenų subjekto tapatybę ir jo asmens duomenis patvirtinančius dokumentus, gavus Duomenų subjekto ar jo įgalioto atstovo prašymą;

  3. Duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, informuoja duomenų gavėjus apie Duomenų subjekto ar jo įgalioto atstovo prašymu ištaisytus ar sunaikintus Duomenų subjekto asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.

  1. Duomenų valdytojas turi teisę motyvuotai atsisakyti įgyvendinti Duomenų subjekto teises esant ADTAĮ 23 straipsnio 2 dalyje numatytoms aplinkybėms.

  2. Duomenų subjektai prašymus dėl savo teisių įgyvendinimo gali pateikti Įstaigai:

Elektroniniu paštu

Registruotu paštu

vilnius@intergym.lt

Buivydiškių g. 12A, LT-07194 Vilnius

  1. SKYRIUS

ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

  1. Tais atvejais, kai Įstaiga įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Įstaigos ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

  2. Sprendimą perduoti Duomenų subjekto duomenų tvarkymą asmens Duomenų tvarkytojui priima Įstaigos direktorius.

  3. Įstaigos vadovas privalo parinkti tokį Duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

  4. Įstaiga, sutartyje įgaliodama Duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kokius asmens duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytojas Duomenų valdytojo vardu. Duomenų tvarkytojai, kurie tvarko Duomenų subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ir kitų teisės aktų nuostatas.

  1. SKYRIUS

DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

  1. Informacija apie Asmens duomenų teikimą ir gavimą:

Duomenų kategorijos

Duomenų valdytojas

Duomenų tvarkytojas

Duomenų teikėjas

Duomenų gavėjas

Įstaigos klientų (nepilnamečių asmenų) asmens duomenys

VšĮ „Gimnastika ir aš“

VšĮ „Gimnastika ir aš“;

Buhalterines paslaugas teikianti įmonė;

Informacinių technologijų paslaugas teikianti įmonė

Duomenų subjekto atstovai

Neperduodama

Įstaigos klientų (pilnamečių asmenų) asmens duomenys

VšĮ „Gimnastika ir aš“ VšĮ „Gimnastika ir aš“;

Buhalterines paslaugas teikianti įmonė;

Informacinių technologijų paslaugas teikianti įmonė

Duomenų subjektas

Neperduodama

Specialių kategorijų asmens duomenys (duomenys apie sveikatą)

VšĮ „Gimnastika ir aš“ VšĮ „Gimnastika ir aš“

Duomenų subjekto atstovas

Neperduodama

Įstaigos nepilnamečių asmenų atstovų (tėvų/ globėjų/ rūpintojų) asmens duomenys

VšĮ „Gimnastika ir aš“ VšĮ „Gimnastika ir aš“;

Buhalterines paslaugas teikianti įmonė;

Informacinių technologijų paslaugas teikianti įmonė

Duomenų subjektas

Neperduodama

Įstaigos darbuotojų asmens duomenys

VšĮ „Gimnastika ir aš“ VšĮ „Gimnastika ir aš“;

Buhalterines paslaugas teikianti įmonė;

Informacinių technologijų paslaugas teikianti įmonė

Duomenų subjektas;

SoDra;

VMI prie LR FM

SoDra;

VMI prie LR FM

Paslaugų ir (ar) prekių teikėjų asmens duomenys

VšĮ „Gimnastika ir aš“ VšĮ „Gimnastika ir aš“;

Buhalterines paslaugas teikianti įmonė;

Informacinių technologijų paslaugas teikianti įmonė

Duomenų subjektas

VMI prie LR FM;

Viešųjų pirkimų tarnyba;

Teisėsaugos institucijoms.

  1. Neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik, jeigu rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie Duomenų subjektą telefonu neteikiama.

  2. Vienkartinio duomenų teikimo atveju Įstaiga, teikdama asmens duomenis pagal duomenų gavėjo rašytinį prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.

  3. Įstaiga, užtikrina, kad sporto ir sveikatingumo paslaugų įgyvendinimo metu gautų asmens duomenų tvarkymas bus vykdomas tik Europos Sąjungos Valstybėje narėje arba kitoje Europos Ekonominėje Erdvėje esančioje valstybėje, arba valstybėje, kuri, Europos Komisijos sprendimu, užtikrina tinkamą duomenų apsaugos lygį, arba kitaip atitinka šį punktą. Norint gautus asmens duomenis perduoti arba prie jų suteikti prieigą valstybei, kuri neatitinka šiame punkte nurodytų reikalavimų, reikia gauti išankstinį raštišką arba elektroninės formos (pavyzdžiui, el. paštu) Duomenų subjekto sutikimą ir laikytis asmens duomenų perdavimo trečiosioms valstybėms taisyklių (Reglamento 44-45 str.).

  1. SKYRIUS

ASMENS DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA

  1. Įstaigos tvarkomi asmens duomenys saugomi serveriuose, esančiuose Europos Sąjungos teritorijoje, taip pat duomenų bazėse ir popierinėse bylose.

  2. Asmens duomenys Įstaigos saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

  3. Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.

  4. Dokumentų saugojimo Įstaigoje terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai ir kiekvienais metais tvirtinami Įstaigos dokumentacijos planai.

  5. Dokumentus, kuriuose yra asmens duomenų, saugo Įstaigos darbuotojai dokumentacijos plane patvirtintą terminą. Įstaigos darbuotojai, vadovaudamiesi Lietuvos Respublikos dokumentų ir archyvų įstatymu ir Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, perduoda dokumentus saugoti Įstaigos archyve. Pasibaigus dokumentacijos plane nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami arba perduodami saugoti valstybės archyvui.

  6. Automatiniu būdu tvarkomi asmens duomenys saugomi dokumentacijos planuose nustatytus terminus.

  7. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos, automatiniu būdu tvarkomi asmens duomenys turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.

  8. Už asmens duomenų sunaikinimą dokumentuose, esančiuose Įstaigos archyve, yra atsakingas raštinės (archyvo) vedėjas. Už asmens duomenų sunaikinimą informacinėse sistemose ir duomenų bazėse atsakingas raštinės (archyvo) vedėjas.

  1. SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI ATLIKIMO TVARKA

  1. Reglamento 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Įstaigoje yra atliekamas poveikio duomenų apsaugai vertinimas.

  2. Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.

  3. Poveikio duomenų apsaugai vertinimą atlieka Įstaigos darbuotojai arba asmenys pagal paslaugų teikimo sutartį.

  4. Atliekant poveikio duomenų apsaugai vertinimą, konsultuojamasi su duomenų apsaugos pareigūnu. Jeigu atliekamas poveikio duomenų apsaugai vertinimas yra susijęs su darbuotojų asmens duomenų tvarkymu, papildomai konsultuojamasi su darbo taryba arba jos funkcijas atliekančia institucija. Duomenų apsaugos pareigūno ir darbo tarybos arba jos funkcijas atliekančios institucijos nuomonė gaunama raštu.

  5. Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento 35 straipsnio 7 dalyje nurodyta informacija.

  6. Poveikio duomenų apsaugai vertinimo ataskaita saugoma teisės aktų nustatyta tvarka.

  7. Jeigu atlikus poveikio duomenų apsaugai vertinimą nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jeigu duomenų valdytojas nesiimtų priemonių pavojui sumažinti, konsultuojamasi su Valstybine duomenų apsaugos inspekcija jos nustatyta tvarka.

  1. SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠŲ PILDYMO TVARKA

  1. Duomenų veiklos įrašų vedimo tvarka Įstaigoje yra naudojama vadovaujantis šiomis principinėmis nuostatomis:

  1. Turi būti naudojama griežtai tik darbo reikmėms;

  2. Naudojantis turi būti laikomasi galiojančių Lietuvos Respublikos teisės aktų, Įstaigos vidinių aktų, darbo sutarčių nuostatų bei naudojimo instrukcijų;

  3. Naudojantis turi būti laikomasi darbuotojų saugos, komercinės informacijos saugos, asmens duomenų apsaugos reikalavimų;

  4. Naudojimas turi užtikrinti konfidencialumo įsipareigojimų, intelektinės nuosavybės teisių, įskaitant trečiųjų asmenų teises ir teisėtus interesus, bendrųjų etikos ir moralės principų laikymąsi.

  1. Duomenų veiklos įrašų vedimo dokumente (bei elektroninėje jo rinkmenoje) privalo būti nurodyta:

  1. Duomenų tvarkytojas – Įstaigos pavadinimas, atsakingas asmuo;

  2. Duomenų tvarkymo tikslas – kokiu tikslu yra tvarkomi duomenys (aiškiai aprašyti pvz., formaliam ugdymui teikti ir kt.);

  3. Duomenų subjektai ir asmens duomenys – kokie konkretūs duomenys yra renkami (pvz., vardas, pavardė, adresas, ID kortelės kodas);

  4. Duomenų tvarkymo pagrindas – dėl ko vyksta šis rinkimas (pavyzdžiui, sutartis, prašymas, sutikimas);

  5. Duomenų gavėjai – kas yra galutinis šių duomenų gavėjas (pavyzdžiui, privatus asmuo, įmonės, ne Europos Sąjungos šalys);

  6. Duomenų saugojimo terminai – laikotarpis metais, kuriais nurodoma, kiek saugomi šie duomenys, ir momentas, nuo kada šis laikotarpis skaičiuojamas (pavyzdžiui, vieni metai nuo interesanto prašymo gavimo);

  7. Duomenų ištrynimo (panaikinimo) terminai – laikotarpis metais, kurias nurodoma, kuriam laikui praėjus šie saugomi duomenys bus ištinti, ir momentas, nuo kada šis laikotarpis skaičiuojamas (pavyzdžiui, dveji metai nuo darbo sutarties nutraukimo);

  8. Naudojamos techninės ir organizacinės saugumo priemonės – naudojami pseudonimai, šifravimas, veiklos tęstinumo užtikrinimas techninio incidento metu, nuolatinis vertinimo procesas ir pan.

  1. Duomenų veiklos įrašų vedimo dokumente gali būti ir kitų nuostatų, pildomų pagal poreikį. Duomenų veiklos įrašai į dokumentą įvedami raštu (ir elektroniniu būdu) iš karto po kiekvieno veiksmo atlikimo. Tai turi būti daroma nuolat vykdant naujas duomenų tvarkymo operacijas.

  2. Įvykus incidentui, įrašuose turi būti tai pažymėta remiantis Reagavimo į duomenų saugumo pažeidimus procedūros aprašo nuostatomis ir ten nurodytomis tvarkomis.

  3. Kartą per vienus metus turi būti atliekamas patikrinimas pasirinktinai iki 10 proc. įrašų auditavimui atlikti ir įvertinti.

  4. Kartą per dvejus metus turi būti atliekamas išsamus patikrinimas ir auditavimas.

  5. Duomenų veiklos įrašų vedimo tvarka ne rečiau kaip kartą per vienus metus peržiūrima ir, prireikus ar pasikeitus asmens duomenų tvarkymą reglamentuojantiems teisės aktams, diegiant struktūrinius, technologinius ar kitokius pakeitimus, atnaujinama. Už šios tvarkos nuostatų laikymosi priežiūrą ir juose reglamentuotų nuostatų vykdymo kontrolę, atnaujinimo pagal poreikį inicijavimą yra atsakingas pareigūnas.

  6. Visi šiame skyriuje nenumatyti veiksmai, susiję su duomenų veiklos įrašų vedimu Įstaigoje, privalo būti derinami su pareigūnu.

  1. SKYRIUS

ATSAKOMYBĖ

  1. Duomenų subjektas privalo Įstaigai pateikti išsamius ir teisingus Duomenų subjekto Asmens duomenis bei informuoti apie atitinkamus Duomenų subjekto Asmens duomenų pasikeitimus. Įstaiga nebus atsakinga už žalą, atsiradusią Duomenų subjektui ir (ar) Tretiesiems asmenims dėl to, jog Duomenų subjektas nurodė neteisingus ir (ar) neišsamius savo Asmens duomenis arba tinkamai ir laiku neinformavo apie jų pasikeitimus.

  2. Įstaiga internetinėje svetainėje www.intergym.lt taip pat išviešina savo atstovo kontaktus dėl Duomenų subjektų prašymų nagrinėjimo.

  1. SKYRIUS

BAIGIAMOSIOS NUOSTATOS

  1. Šios Taisyklės, sudarytos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatomis, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu bei kitų susijusių teisės aktų nuostatomis.

  2. Įstaiga turi teisę iš dalies arba visiškai pakeisti Taisykles apie tai iš anksto pranešdama Įstaigos interneto puslapyje. Taisyklių papildymai arba pakeitimai įsigalioja nuo jų paskelbimo dienos, t. y. kai jie yra patalpinami Įstaigos internetiniame puslapyje. Jeigu Duomenų subjektas nesutinka su nauja Taisyklių redakcija, Duomenų subjektas turi teisę atsisakyti naudotis Įstaigos teikiamomis paslaugomis. Jei po Taisyklių papildymo arba pakeitimo Duomenų subjektas ir toliau naudojasi Įstaigos teikiamomis paslaugomis, laikoma, kad Duomenų subjektas sutinka su naująja Taisyklių redakcija.

  3. Šių Taisyklių pagrindu kylantiems santykiams taikoma Lietuvos Respublikos teisė.

  4. Visi nesutarimai, kilę dėl šių Taisyklių vykdymo, sprendžiami derybų būdu. Nepavykus susitarti per 30 (trisdešimt) kalendorinių dienų, ginčai sprendžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.

  5. Standartizuota prašymų susipažinti su asmens duomenimis forma patvirtinta pagal bendrųjų asmens duomenų apsaugos taisyklių 1 priedo reikalavimus.

  6. Standartizuota prašymų ištaisyti duomenis forma patvirtinta pagal bendrųjų asmens duomenų apsaugos taisyklių 2 priedo reikalavimus.

  7. Standartizuota prašymų ištrinti asmens duomenis forma patvirtinta pagal bendrųjų asmens duomenų apsaugos taisyklių 3 priedo reikalavimus.

Prašymai

  1. Standarizuota duomenų ištaisymo forma
  2. Standartizuota susipazinimo su duomenimis forma
  3. Standartizuota duomenu istrynimo forma