Обработка личных данных

1. КЛЮЧЕВЫЕ КОНЦЕПЦИИ ПОЛИТИКИ

1.1. ADTAĮ — Закон Литовской Республики о правовой защите личных данных.

1.2. Ответственный сотрудник — сотрудник Компании, который в соответствии с должностью и характером работы имеет право выполнять определенные функции, связанные с обработкой данных.

1.3. BDAR — Регламент (ЕС) 2016/679 Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC (Общая защита данных Регламент).

1.4. Компания — Контроллер данных UAB EVIJA & Partner, код юридического лица 302642070.

1.5. Работник означает лицо, заключившее трудовой договор, временный трудовой договор или договор добровольной деятельности с Компанией.

1.6. Данные / Персональные данные — любая информация об идентифицированном или идентифицируемом физическом лице (субъекте данных); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификатору, такому как имя, личный идентификационный номер, местоположение и интернет-идентификатор, или по одному или нескольким физическим идентификаторам этого физического лица, характеристикам физиологическая, генетическая, ментальная, экономическая, культурная или социальная идентичность.

1.7. Получателем данных является физическое или юридическое лицо, государственный орган, агентство или другой орган, которому раскрываются Персональные данные, независимо от того, является ли оно третьей стороной.

1.8. Субъект данных — сотрудник Компании, клиент или другое физическое лицо, Персональные данные которого обрабатываются Компанией.

1.9. Обработка данных означает любую операцию или набор операций с персональными данными, выполняемые автоматическими или неавтоматическими средствами, такими как: сбор, запись, сортировка, хранение, адаптация или изменение, воспроизведение, поиск, использование, раскрытие, передача, распространение или иным образом. предоставление доступа, размещение или комбинация путем комбинирования, блокирования, удаления или уничтожения.

1.10. Обработчик данных — физическое или юридическое лицо, государственный орган, агентство или другое учреждение, которое обрабатывает Персональные данные от имени Компании.

1.11. Третье лицо — физическое или юридическое лицо, государственный орган, агентство или другое учреждение, которое не является пользователем Услуг, Компанией, контролером данных или лицами, которым разрешено обрабатывать персональные данные с прямого разрешения Компании или Обработчик данных.

1.12. Другие термины, используемые в Политике, соответствуют терминам, используемым в BDAR и ADTA.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Целью настоящей Политики является информирование Субъектов данных о порядке обработки их Данных и условиях их хранения, а также указание их прав в отношении этих Данных и Компании.

2.2. Компания обеспечивает соблюдение следующих основных принципов обработки персональных данных:

2.2.1. Персональные данные должны обрабатываться законным, справедливым и прозрачным образом (принцип законности, справедливости и прозрачности);

2.2.2. Персональные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями;

2.2.3. Персональные данные должны быть адекватными, актуальными и не чрезмерными по отношению к целям, для которых они обрабатываются (принцип сокращения данных);

2.2.4. Персональные данные должны быть точными и при необходимости обновляться; должны быть предприняты все разумные меры для обеспечения того, чтобы персональные данные, которые являются неточными, с учетом целей, для которых они обрабатываются, были удалены или исправлены без промедления (принцип точности);

2.2.5. Персональные данные должны храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых они обрабатываются;

2.2.6. Персональные данные должны обрабатываться таким образом, чтобы обеспечить адекватную безопасность персональных данных с помощью соответствующих технических или организационных мер, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения (принцип целостности и конфиденциальности);

2.2.7. Компания несет ответственность за соблюдение вышеуказанных принципов и должна иметь возможность продемонстрировать их соблюдение (принцип подотчетности).

2.3. Компания может разрешить обработчикам данных обрабатывать данные, которыми она управляет, т. то есть поставщики услуг информационных технологий и электронных коммуникаций, консультанты, аудиторы, консультанты, службы безопасности и другие лица, которые обрабатывают данные, управляемые Компанией, для указанных целей и в соответствии с инструкциями Компании. Права доступа контролера данных к Данным прекращаются при расторжении договора об обработке персональных данных, заключенного с Компанией, или при расторжении этого договора.

3. СООТВЕТСТВУЮЩАЯ ИНФОРМАЦИЯ О СУБЪЕКТАХ ДАННЫХ

3.1. Данные, которыми управляет Компания, должны быть предоставлены третьим лицам с согласия Субъекта данных или на другом основании для законного предоставления данных.

3.2. Перед обработкой их Персональных данных субъектам данных должна быть предоставлена следующая информация:

3.2.1. Название компании, реквизиты и контактные данные;

3.2.2. Цели обработки данных;

3.2.3. Правовая основа для обработки данных;

3.2.4. Контактные данные сотрудника по защите данных, если применимо;

3.2.5. Период, в течение которого будут храниться личные данные, или, если это невозможно, критерии для определения этого периода;

3.2.6. Право потребовать, чтобы Компания разрешила доступ к личным данным Субъекта данных и исправила или удалила их, или ограничила обработку данных, или право не давать согласие на обработку Данных, а также право на переносимость Данных;

3.2.7. Право подать жалобу в надзорный орган;

3.2.8. Если возможно, получатели или категории получателей персональных данных;

3.2.9. Если применимо, намерение Компании передать персональные данные в третью страну или международную организацию;

3.2.10. Там, где это применимо, наличие автоматизированного принятия решений, включая профилирование, и, по крайней мере, в этом случае значимая информация о его обосновании, а также значимость такой обработки и ожидаемые последствия для Субъектов данных.

3.3. Информация должна быть предоставлена в краткой, прозрачной, ясной и легко доступной форме простым языком.

3.4. Информация предоставляется в этой политике в письменном виде по электронной почте. по почте или другим способом. По запросу субъекта данных информация может быть предоставлена устно.

3.5. Собранная информация о конкретном лице предоставляется только после того, как Субъект данных подтвердит свою личность и отправит подписанный запрос или его копию.

3.6. Обязательство по предоставлению информации не применяется в том случае, если:

3.6.1. Предоставление такой информации невозможно или потребует непропорциональных усилий. В таких случаях Компания принимает соответствующие меры для защиты свобод и законных интересов Субъекта данных, включая публичное раскрытие информации;

3.6.2. Факт получения или разглашения данных четко установлен в правовых актах ЕС или Литовской Республики, которые устанавливают соответствующие меры для защиты законных интересов Субъекта данных;

3.6.3. Если личные данные должны оставаться конфиденциальными, включая обязательство сохранения профессиональной тайны.

4. УСЛОВИЯ ХРАНЕНИЯ ДАННЫХ

4.1. Компания применяет разные условия хранения персональных данных в зависимости от категорий обрабатываемых персональных данных:

Нет.

Цель обработки персональных данных

Срок годности

Обработка данных для целей прямого маркетинга

10 лет с момента согласия

Обработка данных в рекламных целях.

1 год с даты согласия

Обработка данных для целей электронной торговли.

2 года с момента последнего входа в систему или покупки

Обработка данных с целью участия в тестировании косметического продукта.

3 года с момента окончания обучения

Видеонаблюдение в целях защиты собственности.

Не более 30 дней

Видеонаблюдение с целью организации и проведения обучения.

Не более 1 года

4.2. Исключения из вышеуказанных сроков хранения могут быть сделаны в той мере, в какой такие отклонения не нарушают права Субъекта данных, соответствуют требованиям законодательства и должным образом задокументированы.

4.3. Если Данные используются в качестве доказательства в гражданском, административном или уголовном судопроизводстве или в других случаях, предусмотренных законом, Данные могут храниться в объеме, необходимом для этих целей обработки данных, и немедленно уничтожаться, когда они больше не нужны.

5. НАЗНАЧЕНИЕ ДАННЫХ

5.1. Уничтожение определяется как физический или технический акт, при котором данные, содержащиеся в документе, становятся безвозвратными с помощью обычных коммерчески доступных средств.

5.2. Персональные данные, хранящиеся в электронном виде, уничтожаются путем стирания без возможности восстановления.

5.3. Сотрудник, работающий на определенном компьютере, на котором хранятся файлы личных данных, несет ответственность за уничтожение файлов личных данных, хранящихся в электронной форме.

5.4. Сотрудники, управляющие этими системами, несут ответственность за уничтожение данных, содержащихся в базах данных и ИТ-системах Компании.

6. ПРАВА СУБЪЕКТОВ ДАННЫХ

6.1. Субъект данных может осуществлять следующие права:

6.1.1. Право на получение информации;

6.1.2. Право доступа;

6.1.3. Право отмены;

6.1.4. Право на корректировку;

6.1.5. Право ограничивать обработку данных;

6.1.6. Право на переносимость данных;

6.1.7. Право возражать против обработки данных;

6.1.8. Права, связанные с автоматическим принятием решений и профилированием.

7. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ПРАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект данных, который представил документ, удостоверяющий личность, Компании или Обработчику данных или в порядке, установленном правовыми актами, или с помощью электронных средств, позволяющих надлежащую идентификацию лица, подтвердившего свою личность, имеет право на получение информации. из каких источников и с какой целью они обрабатываются, кому данные предоставлены и были предоставлены за последний год.

7.2. Персональные данные предоставляются Субъекту данных для доступа, а также исправляются и удаляются, или их обработка приостанавливается на основании документов, удостоверяющих личность Субъекта данных, и документов, удостоверяющих личность, или с помощью электронных средств связи, которые позволяют надлежащую идентификацию по запросу. Когда субъект данных обращается в Компанию в письменной форме, к заявлению прилагается нотариально заверенная копия документа, удостоверяющего личность, за исключением случаев, когда письменное заявление подается непосредственно сотрудникам Компании и субъект данных, подающий заявление, может быть идентифицирован по адресу время подачи заявки.

7.3. Запросы субъектов данных относительно обработки Персональных данных принимаются и регистрируются в журнале регистрации и управления Компании сотрудником (ами), уполномоченным Директором Компании.

7.4. После получения запроса от Субъекта данных относительно обработки его / ее персональных данных Компания должна ответить, обрабатываются ли относящиеся к нему Персональные данные, и предоставить запрашиваемые Данные Субъекту данных не позднее, чем в течение 30 календарных дней. с даты Субъекта данных. По запросу Субъекта данных такие Данные должны быть предоставлены в письменной форме.

7.5. Предоставляя Персональные данные Субъекта данных, обрабатываемые Субъектом данных, Субъекту данных, Компания должна обеспечить соответствующие организационные и технические меры безопасности данных, чтобы другие Субъекты данных не могли быть идентифицированы по предоставленным Данным.

7.6. Компания, получив запрос Субъекта данных на обработку связанных с ним видеоданных, должна ответить не позднее, чем в течение 3 рабочих дней с даты получения запроса Субъекта данных о том, сохранены ли связанные с ним видеоданные, и в таком случае Компания должна записать и предоставить на безопасном носителе информации (CD, DVD и т. д.).

7.7. Персональные данные Субъекта данных, обрабатываемые Компанией, предоставляются Субъекту данных бесплатно один раз в календарный год.

7.8. При предоставлении Субъекту данных Персональных данных, видео во второй раз в году, Субъект данных должен быть проинформирован об установленном размере вознаграждения (например, за получение CD, DVD или другого носителя, содержащего видео, подготовку документы и др.). Предоставление данных для вознаграждения руководствуется принципом, согласно которому размер вознаграждения не должен превышать затрат на предоставление данных, и правилами вознаграждения за предоставление данных Субъекту данных, утвержденными Правительством Литовской Республики в 2011 году. . 14 сентября постановлением № 1074

7.9. Если Субъект данных, ознакомившись со своими Персональными данными, определяет, что его / ее Персональные данные являются неверными, неполными или неточными и применимы к Компании, Компания должна немедленно проверить Персональные данные и по письменному запросу Субъекта данных в физическим лицом, по почте или в электронном виде, чтобы исправить неправильные, неполные, неточные Персональные данные и / или приостановить обработку таких Персональных данных, за исключением хранения.

7.10. Если Субъект данных, ознакомившись со своими Персональными данными, определяет, что его персональные данные обрабатываются незаконно или обманным путем и применяются к Компании, Компания должна немедленно, но не позднее, чем в течение 5 рабочих дней, проверить законность , целостности и по запросу субъекта (выраженному в письменной форме) немедленно уничтожить незаконно и обманным путем собранные Персональные данные или приостановить обработку таких Персональных данных, за исключением хранения.

7.11. Если по запросу Субъекта данных обработка его Персональных данных приостанавливается, личные данные, обработка которых приостановлена, должны храниться до тех пор, пока они не будут исправлены или уничтожены (по запросу Субъекта данных или после истечения срока действия Срок хранения данных). Другие операции по обработке таких Персональных данных могут выполняться только с целью доказательства обстоятельств, которые привели к приостановке операций по обработке; если Субъект данных дает согласие на дальнейшую обработку своих Персональных данных; при необходимости для защиты прав или законных интересов третьих лиц.

7.12. Компания должна немедленно, но не позднее, чем в течение 5 рабочих дней, уведомить Субъекта данных об исправлении, уничтожении или приостановке обработки Персональных данных, выполненных или не выполненных по запросу Субъекта данных.

7.13. Если Компания сомневается в точности Персональных данных, предоставленных Субъектом данных, Компания приостанавливает обработку таких Данных, и Данные должны быть проверены и исправлены. Такие Персональные данные могут использоваться только для проверки их точности.

7.14. Компания обязуется незамедлительно, но не позднее, чем в течение 5 рабочих дней, проинформировать получателей данных об исправленных или уничтоженных Персональных данных по запросу Субъекта данных, приостановить обработку Персональных данных, за исключением случаев, когда это будет невозможно или чрезмерно сложно предоставить. такая информация (из-за большого количества Субъектов данных, периода данных, необоснованно высоких затрат). В таком случае немедленно уведомляется Государственная инспекция по защите данных.

7.15. По запросу Субъекта данных Компания уведомляет Субъекта данных о прекращении или отказе в прекращении обработки его / ее Персональных данных.

7.16. Если установлено, что Компания обрабатывает Персональные данные Субъекта данных незаконно и несправедливо, эти Данные подлежат немедленному уничтожению, но не позднее, чем в течение 5 рабочих дней, по инициативе Компании или по запросу Субъекта данных.

7.17. Субъект данных должен направить Компании письменное уведомление о разногласиях в отношении обработки Персональных данных лично, по почте или в электронном виде. Если несогласие Субъекта данных обосновано законом, Компания должна немедленно, но не позднее, чем в течение 5 рабочих дней, бесплатно прекратить обработку Персональных данных, за исключением случаев, предусмотренных законодательством, и проинформировать получателей данных.

7.18. Когда Персональные данные обрабатываются на правовой основе, указанной в Статье 5 (1) (5) и (6) Закона о защите данных, Субъект данных имеет право возражать против обработки своих Персональных данных без указания причин. для возражения. Перед сбором Персональных данных Компания знакомит Субъекта данных с правом возражать против обработки его персональных данных. По запросу Субъекта данных Компания должна уведомить Субъекта данных о прекращении или отказе в прекращении обработки его / ее Персональных данных.