Asmens duomenų tvarkymo taisyklės

1. PAGRINDINĖS SĄVOKOS
1.1. Licėjus – Erudito licėjus, kuriam priklauso www.erudito.lt.
1.2. Taisyklės – reiškia šias Asmens duomenų tvarkymo taisykles, kuriomis vadovaujasi Licėjus atlikdamas Asmens duomenų tvarkymo veiksmus.
1.3. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
1.4. Tvarkymas arba Tvarkomasis veiksmas – bet kuris su Asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.
1.5. Duomenų subjektas – fizinis asmuo, kuris pateikia Licėjui savo Asmens duomenis ir su kurio Asmens duomenimis Licėjus atlieka Tvarkomuosius veiksmus.
1.6. Interneto svetainė – interneto domeno adresu pasiekiama interneto svetainė, per kurią Duomenų subjektai gali gauti Licėjaus teikiamas paslaugas.
1.7. Trečioji šalis arba Tretysis asmuo – fiziniai arba juridiniai asmenys, kurie nėra Duomenų subjektai ar Darbuotojai.
1.8. Darbuotojas – fizinis asmuo, su kuriuo Licėjus ar yra sudaręs darbo arba savanoriškos veiklos sutartį.

2. BENDROSIOS NUOSTATOS
2.1. Šių Taisyklių tikslas – reglamentuoti Duomenų subjektų Licėjui pateikiamų Asmens duomenų Tvarkymo principus ir tvarką; nustatyti Duomenų subjektų teises ir pareigas, susijusias su Tvarkymu; reglamentuoti Asmens duomenų pažeidimo rizikos valdymą ir informavimą apie pažeidimus; nustatyti Asmens duomenų apsaugos Licėjaus veikloje įgyvendinimo priemones; reglamentuoti kitus su Asmens duomenų Tvarkymu susijusius klausimus.
2.2. Taisyklės yra parengtos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos Reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu Nr. I-1374 ir kitais teisės aktais reglamentuojančiais asmens duomenų tvarkymą ir apsaugą.
2.3. Taisyklės yra taikomos Licėjui ir Licėjaus veikloje Tvarkant bet kuriose sistemose ar bet kokiose laikmenose esančius Asmens duomenis, nepriklausomai nuo to ar Tvarkymas yra atliekamas Licėjaus vidiniuose procesuose ar užsakant ir vykdant paslaugų teikimą Duomenų subjektams.
2.4. Taisyklės yra privalomos visiems Darbuotojams, kuriuos Licėjus supažindina su Taisyklėmis pasirašytinai.
2.5. Duomenų subjektai turėdami klausimų dėl šių Taisyklių taikymo ar Asmens duomenų tvarkymo Licėjui, taip pat siekdami realizuoti savo teises nustatytas šiose Taisyklėse ar teisės aktuose, gali pateikti savo klausimus raštu arba elektroniniu paštu adresu arba atsiunčiant raštišką prašymą Licėjui veiklos adresu. Licėjus pateikia atsakymus į visus su Asmens duomenimis ar Duomenų subjektų teisėmis susijusius prašymus ne vėliau kaip per 20 kalendorinių dienų nuo tokių prašymų gavimo dienos.

3. ASMENS DUOMENŲ RINKIMAS, TVARKYMAS, SAUGOJIMAS
3.1. Licėjus šių Taisyklių pagrindu Tvarko sekančių kategorijų Asmens duomenis:
3.1.1. Duomenis, kuriuos pateikia Duomenų subjektai per Interneto svetainę arba pristatydami fiziškai į Licėjų.
3.2. Licėjus Tvarko Duomenų subjektų Asmens duomenis sekančiais tikslais:
3.2.1. Paslaugų suteikimo Duomenų subjektui tikslais;
3.2.2. Duomenų subjektų informavimo bei reklamos tikslais.
3.3. Duomenų subjektų Asmens duomenis Licėjus tvarko tik esant bent vienai iš žemiau nurodytų sąlygų:
3.3.1. Esant aiškiai išreikštam Duomenų subjekto sutikimui;
arba
3.3.2. Asmens duomenų Tvarkymas yra būtinas siekiant įgyvendinti teisės aktų numatytas pareigas ar realizuoti Licėjaus teises;
arba
3.3.3. Egzistuojant sutarčiai, kurios sudarymui ir vykdymui yra reikalingi Asmens duomenys.
3.4. Licėjus vadovaujasi šiais pagrindiniais Asmens duomenų Tvarkymo principais:
3.4.1. Asmens duomenys renkami teisės aktuose, šiose Taisyklėse ir/ar tarp Licėjaus ir Duomenų subjektų sudarytų susitarimų apibrėžtais tikslais;
3.4.2. Asmens duomenys tvarkomi teisėtai, sąžiningai ir skaidriai;
3.4.3. Asmens duomenys gali būti nuolat atnaujinami;
3.4.4. Asmens duomenys saugomi tik apibrėžtą laikotarpį;
3.4.5. Asmens duomenis tvarko tik tie Licėjaus darbuotojai, kurie yra įgalioti Licėjaus vadovo arba kurių darbo funkcijos yra tiesiogiai ir neišvengiamai susijusios su Tvarkomųjų veiksmų atlikimu;
3.4.6. Asmens duomenys, esantys Licėjaus žinioje, yra laikomi konfidencialia informacija;
3.4.7. Asmens duomenys Tvarkomi tik esant šiose Taisyklėse arba teisės aktuose nurodytoms sąlygoms.

4. ASMENS DUOMENŲ TVARKYMAS
4.1. Licėjus asmens duomenis Tvarko automatizuotais ir neautomatizuotais būdais.
4.2. Licėjus šiose Taisyklėse nurodytais tikslais tvarko šiuos Duomenų subjektų Asmens duomenis:
4.2.1. Vardas, pavardė;
4.2.2. Gimimo data;
4.2.3. Elektroninio pašto adresas;
4.2.4. Telefono numeris.
4.3. Licėjus Asmens duomenis gauna ir renka žemiau nurodytais būdais:
4.3.1. Duomenų subjektų Asmens duomenis, nurodytus šių Taisyklių 4.2.1. – 4.2.5. punktuose – tiesiogiai iš pačių Duomenų subjektų, Duomenų subjektams savanoriškai pateikus.
4.4. Licėjus renka ir Tvarko tik tiek duomenų, kiek konkrečiu atveju yra būtina surinkti šiose Taisyklėse nurodytų tikslų įgyvendinimui ar sutartinių įsipareigojimų įvykdymui. Šių Taisyklių 4.2. punkte nurodytas asmens duomenų sąrašas yra išsamus visų galimų Tvarkyti Asmens duomenų sąrašas, tačiau kiekvienu individualiu atveju Licėjus gali nuspręsti Tvarkyti mažiau Asmens duomenų nei nurodyta sąraše, jeigu mažesnės apimties Asmens duomenų tvarkymas yra pakankamas tinkamam tarp šalių sudarytos sutarties ar kitų prievolių įgyvendinimui.
4.5. Duomenų subjektų Asmens duomenis tvarko tik Licėjaus vadovo įgalioti Darbuotojai ir Tretieji asmenys su kuriais Licėjus yra sudaręs teikimo sutartis dėl paslaugų teikimo ir kai tokios paslaugų sutarties vykdymui yra būtina atlikti Tvarkymo veiksmus naudojant Asmens duomenis.
4.6. Licėjus užtikrina, kad Darbuotojas, kuriam pavedama atlikti Asmens duomenų Tvarkymo veiksmus, sutartimi arba privalomais lokaliniais teisės aktais prisiims žemiau nurodytas pareigas:
4.6.1. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Asmens duomenimis asmenims, kurie nėra Licėjaus įgalioti tvarkyti Asmens duomenis ir kuriems nėra suteikta teisė gauti Asmens duomenis Taisyklėse ar įstatymuose nustatyta tvarka;
4.6.2. Visus Asmens duomenis, kurie jam taps žinomi, laikyti konfidencialia informacija ir jos nenaudoti nei savo, nei jokių trečiųjų asmenų interesais;
4.6.3. Nedelsiant pranešti Licėjaus vadovui ar jo paskirtam asmeniui apie bet kokias žinomas aplinkybes, galinčias kelti grėsmę Asmens duomenų saugumui;
4.6.4. Laikytis šių Taisyklių ir asmens duomenų apsaugą reglamentuojančių teisės aktų nuostatų.

5. ASMENS DUOMENŲ SAUGOJIMO TERMINAI
5.1. Licėjus saugo Asmens duomenis tol, kol:
5.1.1. galioja su Duomenų subjektu sudaryta sutartis;
5.1.2. Licėjus gali realizuoti savo pagrįstus ir teisėtus interesus, kurių realizavimui yra būtini Asmens duomenys;
5.1.3. egzistuoja įstatymuose nustatyta pareiga saugoti duomenis;
5.1.4. galioja Duomenų subjekto sutikimas dėl Asmens duomenų tvarkymo.
5.2. Kitais nei šių Taisyklių 5.1. punkte nurodytais atvejais, Licėjus saugo Asmens duomenis šiais terminais:
5.2.1. Duomenų subjektų Asmens duomenis ne ilgiau nei 24 mėnesius po paskutinio Duomenų subjekto sutikimo pateikimo arba po Duomenų subjekto sutikimo atšaukimo, išskyrus atvejus, kai Duomenų subjektas pareiškia reikalavimą visiškai sunaikinti jo Asmens duomenis ankstesniais nei šiose Taisyklėse numatytais terminais.
5.3. Pasibaigus šiose Taisyklėse nurodytiems Asmens duomenų saugojimo terminams Licėjus sunaikina visas Asmens duomenų kopijas, kurios termino suėjimo dieną bus Licėjaus žinioje, nepriklausomai nuo tokių Asmens duomenų kopijų pavidalo (skaitmeninės, popierinės, kt.).

6. DUOMENŲ SUBJEKTŲ TEISĖS
6.1. Duomenų subjektas turi teisę:
6.1.1. žinoti (būti informuotas) apie tai, kokius jo Asmens duomenis tvarko Licėjus;
6.1.2. susipažinti su savo Asmens duomenimis ir tuo, kaip jie yra tvarkomi;
6.1.3. gauti visų savo Asmens duomenų, kuriuos pats pateikė Licėjui, kopijas įprastiniu kompiuterių nuskaitomų formatu;
6.1.4. reikalauti ištaisyti, sunaikinti jo Asmens duomenis arba sustabdyti Asmens duomenų tvarkymo, išskyrus saugojimą, veiksmus, jeigu Asmens duomenys tvarkomi nesilaikant šių Taisyklių ir teisės aktų nuostatų;
6.1.5. nesutikti, kad būtų tvarkomi jo asmens duomenys, išskyrus teisės aktuose ir Taisyklėse nustatytas išimtis;
6.1.6. reikalauti, kad jo asmens duomenys būtų visiškai ištrinti (teisė būti pamirštam), išskyrus atvejus kai duomenų valdytojas negali ištrinti duomenų dėl teisės aktuose įtvirtintų pareigų ir reikalavimų įvykdymo;
6.2. Duomenų subjektas, siekdamas realizuoti šių Taisyklių 6.1. punkte nurodytas teises, pateikia Licėjui prašymą elektroniniu paštu (info@erudito.lt) arba registruota pašto siunta (J. Gruodžio g. 9, Kaunas) dėl nurodytų Duomenų subjekto teisių realizavimo. Licėjus ne vėliau kaip per 20 darbo dienų nuo Duomenų subjekto prašymo gavimo dienos, įvykdo Duomenų subjekto reikalavimą arba pateikia Duomenų subjektui raštišką ir motyvuotą atsakymą.
6.3. Licėjus turi teisę netenkinti Duomenų subjekto prašymo arba atsisakyti nagrinėti Duomenų subjekto pateiktą prašymą, jeigu kartu su prašymu Duomenų subjektas nepateikia asmens tapatybę patvirtinančio dokumento iš kurio Licėjus galėtų aiškiai ir tiksliai nustatyti Duomenų subjekto tapatybę.

7. ASMENS DUOMENŲ PERDAVIMAS
7.1. Licėjus nevykdo jokių Asmens duomenų perdavimų Tretiesiems asmenims, kurie nėra įsisteigę Europos Sąjungoje arba Europos Ekonominėje zonoje, išskyrus atvejus, kai Tretysis asmuo nors nėra įsisteigęs Europos Sąjungoje ar Europos Ekonominėje zonoje, tačiau vykdo veiklą Europos Sąjungoje ir gali pateikti pagrįstus įrodymus, jog veikloje taiko ir laikosi BDAR reikalavimų.
7.2. Licėjus jos žinioje esančius Asmens duomenis gali perduoti Tvarkyti tretiesiems asmenims, kurie sudarytos paslaugų sutarties pagrindu teikia Licėjui administracines ar kitas paslaugas (pvz. buhalterinės paslaugos, darbų saugos paslaugos, teisinės paslaugos ir pan.). Licėjus Asmens duomenis perduoda tik tiems paslaugų tiekėjams, kuriems Licėjaus tvarkomi Asmens duomenys yra neišvengiamai būtini vykdant sudarytą paslaugų sutartį ir perduodama tik tiek Asmens duomenų, kiek yra būtina tinkamam sutarties įvykdymui. Licėjus neperduoda Asmens duomenų tiems paslaugų tiekėjams su kuriais nėra sudaryta sutartis ar atskiri sutarties priedai reglamentuojantys saugų Asmens duomenų tvarkymą pagal BDAR ar kitų aktualių teisės aktų reikalavimus. Bet kuriuo atveju, Licėjus Asmens duomenis perduoda tik tiems tretiesiems asmenims, kurie užtikrina adekvačią Asmens duomenų apsaugą ir sutartimi įsipareigoja Licėjui naudoti perduodamus Asmens duomenis tik teisėtais ir pagrįstais sutarties vykdymo tikslais.
7.3. Licėjus gali perduoti Asmens duomenis ir kitais atvejais ar pagrindais, jeigu toks perdavimas yra būtinas vykdant galiojančių teisės aktų reikalavimus arba privalomus ir teisėtai pagrįstus institucijų nurodymus.

8. ASMENS DUOMENŲ APSAUGOS ĮGYVENDINIMO PRIEMONĖS
8.1. Licėjus įgyvendina tinkamas organizacines ir technines priemones, skirtas apsaugoti Asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Siekdama užtikrinti Asmens duomenų apsaugą, Licėjus įgyvendina šias Asmens duomenų apsaugos priemones:
8.1.1. administracines (saugaus dokumentų ir kompiuterinių duomenų tvarkymo, taip pat įvairių veiklos sričių darbo organizavimo tvarkos nustatymas, personalo supažindinimas su asmens duomenų apsauga įdarbinant ir pasibaigus darbo ar panašiems santykiams ir kt.);
8.1.2. techninės ir programinės įrangos apsaugos (tarnybinių stočių, informacinių sistemų ir duomenų bazių administravimas, darbo vietų, Licėjaus patalpų priežiūra, serverių, kuriuose laikomos duomenų bazės saugumo standartų užtikrinimo ir kt.);
8.1.3. komunikacijų ir kompiuterių tinklų apsaugos (bendro naudojimo duomenų, programų, nepageidaujamų duomenų paketų filtravimas ir kt.).
8.2. Visi Licėjaus Tvarkomi Asmens duomenys, kuriuos Licėjus yra gavęs skaitmeninėje laikmenoje (t.y. dokumentų pavidalu) yra laikomi ir saugomi laikantis saugumo reikalavimų.
8.3. Licėjaus dokumentų kopijos, kuriose yra užfiksuoti Asmens duomenys, gali būti daromos tik tuo atveju, kai tai yra neišvengiamai būtina šiose ir turi būti sunaikintos nedelsiant po to, kai dokumentų kopijos tampa nebereikalingos. Dokumentų kopijos ar laikmenos turi būti sunaikintos tokiu būdu, kad jų būtų neįmanoma atkurti.
8.4. Licėjaus Darbuotojai ar jos įgalioti paslaugų teikėjai privalo laikytis ir kitų Asmens duomenų saugumo nuostatų, kurios yra įtvirtintos tarp šalių sudaromų sutarčių nuostatose.

9. ASMENS DUOMENŲ APSAUGOS PAŽEIDIMAS IR INFORMAVIMAS
9.1. Asmens duomenų apsaugos pažeidimas – tai veiksmai ar neveikimas, kurie gali sukelti ar sukelia nepageidaujamus padarinius Asmens duomenų saugumui, tokius kaip, neleistinas, nepagrįstas ar neteisėtas Asmens duomenų atskleidimas Tretiesiems asmenims.
9.2. Tuo atveju, jeigu įvyksta Asmens duomenų apsaugos pažeidimas, kurio metu Duomenų subjektai gali patirti materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinami pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui; Licėjaus vadovas arba įgaliotas asmuo nedelsiant, bet ne vėliau kaip per 24 valandas nuo informacijos apie Asmens duomenų apsaugos pažeidimą sužinojimo momento, privalo pranešti apie įvykusį incidentą Valstybinei duomenų apsaugos inspekcijai ir Duomenų subjektams, kurių Asmens duomenų saugumui kilo ar gali kilti grėsmė ateityje.
9.3. Už tinkamą institucijų ir kitų subjektų informavimą apie Asmens duomenų saugos pažeidimą yra atsakingas Licėjaus vadovas arba Licėjaus vadovo įsakymu įgaliotas asmuo.
9.4. Licėjaus Darbuotojai yra įpareigoti nedelsiant informuoti Licėjaus vadovą apie bet kokius jiems žinomus galimus Asmens duomenų apsaugos pažeidimus.
9.5. Tais atvejais, kai Asmens duomenų apsaugos pažeidimas yra nesusijęs su atsitiktiniais gamtos įvykiais (žaibas, potvynis, gaisras ir pan.) ir yra žmogaus veiksmų padarinys, Licėjaus vadovas sužinojęs apie Asmens duomenų apsaugos pažeidimą taip pat nedelsdamas kreipiasi ir į atitinkamas teisėsaugos institucijas su pareiškimu dėl galimai atliktos nusikalstamos veikos.

10. BAIGIAMOSIOS NUOSTATOS
10.1. Taisyklių laikymosi priežiūrą atlieka Licėjaus vadovas ar jo įgaliotas asmuo. Taisyklės yra peržiūrimos ir, jeigu reikia, atnaujinamos ne rečiau kaip kartą per kalendorinius metus.
10.2. Licėjaus Darbuotojams, kurie pažeidžia Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, kituose teisės aktuose, reglamentuojančiuose Asmens duomenų tvarkymą ir apsaugą, arba šias Taisykles, taikomos Lietuvos Respublikos įstatymuose numatytos atsakomybės priemonės.
10.3. Taisyklės turi būti peržiūrimos ne rečiau kaip kartą per dvejus metus, nedelsiant įvykus asmens duomenų saugos incidentui, pasikeitus atitinkamų teisės aktų reikalavimais, o prireikus – papildomos ir atnaujinamos.