DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

Patvirtinta UAB „Impuls LTU“, l.e.p vadovo Dariaus Mikailos 2019-03-04 įsakymo Nr. [BDAR-1]

UAB „Impuls LTU“
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA


1. BENDROSIOS NUOSTATOS

1. 1. Duomenų subjektų teisių įgyvendinimo UAB „Impuls LTU“, juridinio asmens kodas 302632507, buveinė adresu Kareivių g. 14, Vilnius, Lietuvos Respublika (toliau – Bendrovė) tvarkos (toliau – Tvarka) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Bendrovėje tvarką principą.

1.2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

1.3. Tvarkoje vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.

1.4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679.

 

2. TEISĖ GAUTI INFORMACIJĄ APIE DUOMENŲ TVARKYMĄ

2.1. Informacija apie Bendrovės atliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama žodžiu asmens duomenų gavimo metu, arba raštu asmens duomenų gavimo metu, arba Bendrovės interneto svetainėje www.impuls.lt skelbiamoje Privatumo politikoje.

2.2. Informacija apie duomenų subjektų asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu.

2.3. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:

    (i) per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per 1 (vieną) mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

    (ii) jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

    (iii) jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

 

3. TEISĖ SUSIPAŽINTI SU DUOMENIMIS

3.1. Duomenų subjektui turi būti suteikiama teisė susipažinti su apie jį surinktais asmens duomenimis ir galimybė ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad duomenų subjektas žinotų apie asmens duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Kiekvienas duomenų subjektas turi teisę žinoti ir būti informuotas, visų pirma, apie tai, kokiais tikslais asmens duomenys tvarkomi ir, jei įmanoma, - kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai.

3.2. Bendrovė esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis turi pateikti:

    (i) informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;

   (ii) su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;

   (iii) tvarkomų asmens duomenų kopiją.

3.3. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų asmens duomenų kopija ir kita forma, nei Bendrovė pateikia, tačiau už tai imamas mokestis, apskaičiuotas pagal administracines išlaidas.

 

4. TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS

4.1. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.

4.2. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Bendrovė gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.

4.3. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

5. TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)

5.1. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.

5.2. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.

5.3. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

6. TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ

6.1. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Bendrovė privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.

6.2. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas elektroninių ryšių priemonėmis yra informuojamas.

6.3. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

 

7. TEISĖ Į DUOMENŲ PERKELIAMUMĄ

7.1. Naudodamasis savo teise į asmens duomenų perkeliamumą, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

7.2. Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė Bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

    (i) duomenų tvarkymas yra grindžiamas sutikimu arba sutartimi;

    (ii) duomenys yra tvarkomi automatizuotomis priemonėmis.

7.3. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.

7.4. Asmens duomenys gali būti pateikiami internetu arba įrašyti į CD, DVD ar kitą duomenų laikmeną. Bendrovė asmens duomenis gali pateikti naudojant atvirus formatus, tokius kaip XML, JSON, CSV, kartu su atitinkamais metaduomenimis.

7.5. Jeigu perkeliamuose asmens duomenyse yra trečiųjų asmenų duomenų, siekiant išvengti neigiamo poveikio jų interesams, Bendrovė asmens duomenis perkelti gali tik tada, kai jie yra kontroliuojami išimtinai duomenų subjekto, kurio prašymas vykdomas, ir tik dėl asmeninių ar namų ūkio poreikių.

7.6. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.

7.7. Vykdant duomenų subjekto prašymą perkeliami tik su duomenų subjektu susiję bei jo duomenų valdytojui pateikti duomenys ir tik tie, kuriuos tvarko Bendrovė. Į šios teisės sritį nepatenka asmens duomenys, gauti jau apdorojus, išanalizavus tiesiogiai duomenų subjekto pateiktą informaciją bei fiksuotus duomenis, pavyzdžiui, vartotojo profilis, sukurtas remiantis išanalizuotais duomenimis.

7.8. Savo teise į asmens duomenų perkeliamumą duomenų subjektas turi teisę naudotis nedarydamas poveikio jokiai kitai teisei (tai galioja ir bet kurioms kitoms Bendrajame duomenų apsaugos reglamente numatytoms teisėms). Duomenų subjektas gali ir toliau naudotis Bendrovės teikiamomis paslaugomis ir pasinaudoti jos teikiamais pranašumais net ir po asmens duomenų perkėlimo operacijos.

7.9. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

 

8. TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU

8.1. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Bendrovė tvarkytų jo asmens duomenis:

   (i) kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais; tiesiogine rinkodara laikoma veikla, kuri skirta tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir / arba teirautis jų nuomonės dėl siūlomų prekių ar paslaugų;

   (ii) kai tvarkyti asmens duomenis būtina siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų.

8.2. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

 

9. TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS

9.1. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 22 straipsniu, turi teisę reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir toks sprendimas būtų peržiūrėtas jei dėl to duomenų subjektui kyla teisinės pasekmes arba panašiu būdu daro didelį poveikį duomenų subjektui.

9.2. Duomenų subjekto teisė reikalauti, kad nebūtų taikomas tik automatizuotas duomenų tvarkymas, ribojama Reglamento (ES) 2016/679 22 straipsnio 2 dalyje numatytais atvejais.

9.3. Duomenų subjektui kreipusis dėl automatizuotu duomenų tvarkymu grindžiamo sprendimo peržiūros, duomenų valdytojas, turi atlikti išsamų visų svarbių duomenų, įskaitant ir duomenų subjekto pateiktos informacijos, vertinimą.

 

10. PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS

10.1. Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę raštu, pateikiant prašymą asmeniškai, paštu ar elektroninėmis priemonėmis asmeniui, duomenų apsaugos pareigūnui el. paštu privatumas@impuls.lt, arba Bendrovės buveinės adresu.

10.2. Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.

10.3. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.

10.4. Jeigu dėl duomenų subjekto teisių įgyvendinimo prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

10.5. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, kartu turi būti pateikti teisės aktų nustatyta tvarka patvirtinta asmens tapatybės dokumento kopija. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.

10.6. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą. Jei prašymas įteikiamas per atstovą – atsižvelgiant į prašymo pateikimo būdą, be aukščiau nurodytų dokumentų, atstovas turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą ir pateikti atstovavimą patvirtinantį dokumentą (ar teisės aktų nustatyta tvarka patvirtintą įgaliojimo kopiją).

10.7. Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti. Bendrovė turi dėti protingas pastangas nustatyti prašymą susipažinti su asmens duomenimis pateikusio asmens tapatybę, kadangi gali būti taikomos sankcijos už neteisėtą asmens duomenų atskleidimą tretiesiems asmenimis.

10.8. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 1 priede nurodytos formos prašymą.

 

11. PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS

11.1 Gavus duomenų subjekto prašymą, ne vėliau kaip per 1 (vieną) mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

11.2. Jeigu prašymas pateiktas nesilaikant Taisyklių 10 skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 (penkias) darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis.

11.3. Duomenų valdytojas turėtų būti įpareigotas į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per 1 (vieną) mėnesį ir nurodyti priežastis, kai jis neketina patenkinti bet kurių tokių prašymų.

11.4. Šis laikotarpis prireikus gali būti pratęstas dar 2 (du) mėnesius, atsižvelgiant į prašymų sudėtingumą ir skaičių. Tokiu atveju, privaloma per 1 (vieną) mėnesį nuo prašymo gavimo raštu informuoti Duomenų subjektą apie tokį pratęsimą ir nurodyti vėlavimo priežastis.

11.5. Jeigu nusprendžiama nesiimti veiksmų pagal duomenų subjekto prašymą, privaloma nedelsiant, tačiau ne vėliau kaip per 1 (vieną) mėnesį nuo prašymo gavimo, raštu informuoti duomenų subjektą apie neveikimo priežastis (pvz., prašymą teikiantis asmuo nepatikslino savo tapatybės) ir apie galimybę pateikti skundą priežiūros institucijai. Privaloma tinkamai informuoti duomenų subjektą apie atsisakymą tenkinti jo prašymą.

11.6. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

11.7. Duomenų subjekto prašomą pateikti informaciją apie asmens duomenų tvarkymą pateikiama tokia pačia forma, kokia buvo gautas duomenų subjekto prašymas (nebent pats duomenų subjektas paprašė ją pateikti kitu būdu), t. y. jeigu prašymas pateikiamas elektroninėmis priemonėmis (pvz., el. paštu), informacija pateikiama įprastai naudojama elektronine forma. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.

11.8. Informaciją ir pranešimai teikiami bei kiti veiksmai, susiję su duomenų subjektų teisių įgyvendinimu, atliekami nemokamai, išskyrus atvejus, jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, tokiu atveju Bendrovė gali imti pagrįstą mokestį už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą (tokiu atveju, duomenų subjektas informuojamas apie nustatytą atlyginimo dydį (pavyzdžiui, už CD, DVD ar kitos laikmenos, kurioje yra vaizdo įrašo kopija, gavimą, dokumentų rengimą ir t. t.) ir duomenų teikimo apmokėjimo tvarką) arba atsisakyti imtis veiksmų pagal prašymą. Mokesčio dydis neturi viršyti informacijos ar pranešimo teikimo ar veiksmų atlikimo sąnaudų. Mokesčio dydį Bendrovė nustato ir tvirtina atsižvelgdama į darbo ir materialines sąnaudas, kurių reikia informacijai ar pranešimui pateikti ar veiksmams atlikti.

11.9. Ar prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, kiekvienu atveju reikia vertinti individualiai. Jeigu duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tai pareiga įrodyti tai tenka Bendrovei.

11.10. Tais atvejais, kai Bendrovė tvarko labai didelį kiekį asmens duomenų, neproporcingu gali būti laikomas prašymas pateikti informaciją apie visus tvarkomus asmens duomenis už visą jų tvarkymo laikotarpį. Vis dėlto, ir gavus neproporcingą prašymą, visų pirma, rekomenduojama paprašyti duomenų subjekto jį patikslinti, nurodant, dėl kokios priežasties duomenų subjektui yra būtina gauti tokį didelį kiekį informacijos, o jei tokios priežasties nėra - susiaurinti prašomų pateikti asmens duomenų apimtį.

11.11. Bendrovės veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, A. Juozapavičius g. 6, Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt, taip pat kompetentingam teismui.

11.12. Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į teismą kompetentingą nagrinėti tokius ginčus.

 

Duomenų subjekto teisių įgyvendinimo tvarkos priedas
Atsisiųskite DOC formatu
Atsisiųskite PDF formatu