Privatumo politika
BENDROSIOS KLIENTŲ ASMENS DUOMENŲ APSAUGOS TAISYKLĖS
Priimtos pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo duomenų judėjimo nuostatas
PAGRINDINĖS SĄVOKOS
1. Uždaroji akcinė bendrovė „Brazzistudio“, bendrovės kodas 303502395, buveinės adresas Pievų g. 32, LT-90309 Rietavas, veiklos adresas Vytenio g. 52, LT-03202 Vilnius; kontaktai: el. p. lead@brazzi.co, tel. nr. +370 (674) 46 022. Toliau asmens duomenų tvarkymo ir naudojimo taisyklėse „Bendrovė“.
2. Duomenų subjektas – reiškia fizinį asmenį, iš kurio Bendrovė gauna ir tvarko asmens duomenis.
3. Darbuotojas – reiškia asmenį, kuris su Bendrovė yra sudaręs darbo ar panašaus pobūdžio sutartį ir Bendrovė vadovo sprendimu yra paskirtas tvarkyti Asmens duomenis arba tokius duomenis tvarko pagal savo pareigybiniuose nuostatuose įvardytas darbo funkcijas arba, kurio asmens duomenys yra tvarkomi.
4. Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
5. Duomenų gavėjas – juridinis arba fizinis asmuo arba valstybės institucija, kuriem teikiami asmens duomenys.
6. Duomenų teikimas – asmens duomenų atskleidimas, perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).
7. Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.
8. Duomenų tvarkytojas – juridinis ar fizinis (kuris nėra duomenų valdytojo darbuotojas) asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis. Duomenų tvarkytojas ir (arba) jo skyrimo tvarka gali būti nustatyti įstatymuose ar kituose teisės aktuose.
9. Duomenų valdytojas – juridinis ar fizinis asmuo, kuris vienas arba drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus nustato įstatymai ar kiti teisės aktai, duomenų valdytojas ir (arba) jo skyrimo tvarka gali būti nustatyti tuose įstatymuose ar kituose teisės aktuose.
10. Specialių kategorijų asmens duomenys – duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą.
11. Sutikimas – savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas tvarkyti specialių kategorijų asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią.
12. Tiesioginė rinkodara – veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.
13. Reglamentas – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatas
14. Taisyklės – šios UAB „Brazzistudio“ bendrosios klientų asmens duomenų apsaugos taisyklės“.
BENDROSIOS NUOSTATOS
15. Taisyklės reglamentuoja Bendrovės ir jos darbuotojų veiksmus, tvarkant Asmens duomenis, naudojant Bendrovės įrengtas automatines ir neautomatines asmens duomenų tvarkymo priemones, taip pat nustato Duomenų subjekto teises, asmens duomenų apsaugos įgyvendinimo priemones ir kitus su asmens duomenų tvarkymu susijusius klausimus.
16. Taisyklės paruoštos remiantis:
16.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nuostatomis;
16.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatomis;
16.3. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“ nuostatomis;
16.4. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1 T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ nuostatomis;
16.5. Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga nuostatomis.
17. Šių Taisyklių reikalavimai privalomi visiems Darbuotojams, kurie tvarko Bendrovėje esančius asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis Duomenų tvarkytojai, kurie teikdami Bendrovei duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis.
ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI
18. Bendrovė, tvarkydama asmens duomenis, vadovaujasi šiais principais:
18.1. Asmens duomenis tvarko tik teisėtai ir šiose Taisyklėse apibrėžtiems tikslams pasiekti;
18.2. Asmens duomenys yra tvarkomi tikslingai, sąžiningai, laikantis teisės aktų reikalavimų;
18.3. Asmens duomenis tvarko taip, kad jie būtų tikslūs, esant jų pasikeitimui nuolat atnaujinami; netikslūs ar neišsamūs duomenys ištaisomi, papildomi, sunaikinami arba sustabdomas jų tvarkymas;
18.4. Asmens duomenys tvarkomi tik tokia apimtimi, kuri yra reikalinga asmens duomenų tvarkymo tikslams pasiekti;
18.5. Asmens duomenys saugomi tokia forma ir tiek laiko, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
19. Asmens duomenys Bendrovėje tvarkomi šiais pagrindiniais tikslais:
19.1. Studijos/ patalpų nuomos fotografavimo, filmavimo, renginių organizavimo paslaugų teikimo tikslu;
19.2. Fotografijos mokymų, seminarų organizavimo ir vykdymo tikslu;
19.3. Interjero, produktų ir asmeninių portretų fotografijos paslaugų teikimo tikslu;
19.4. Veiklos informavimo visuomenei (publikuojamos fotonuotraukos) tikslu;
19.5. Vidaus administravimo tikslu;
19.6. Personalo valdymo, personalo dokumentų rengimo, dokumentų valdymo tikslu;
19.7. Turimų materialinių ir finansinių išteklių valdymo ir naudojimo tikslu;
19.8. Audito tikslu.
TIESIOGINĖ RINKODARA
24. Duomenų subjektas gali laisvanoriškai sutikti, jog Duomenų subjekto pateikti Asmens duomenys (el. pašto adresas) būtų naudojamas Bendrovės rinkodaros tikslais, savo sutikimą aktyviu būdu, išreikšdamas Bendrovės interneto svetainės www.brazzi.co registracijos formoje, pažymėdamas varnele ir patvirtindamas savo pritarimą dėl elektroninio pašto naudojimo tiesioginės rinkodaros tikslams.
25. Gavus Duomenų subjekto sutikimą, Bendrovė elektroniniu paštu teikia informaciją/ naujienlaiškius, susijusią su fotografijos paslaugomis, mokymais ir patrauklius pasiūlymus pagal Duomenų subjekto poreikius.
26. Duomenų subjekto pateikti duomenys, kurie naudojami tiesioginės rinkodaros tikslais padeda užtikrinti nuolatinį Bendrovės fotografijos paslaugų tobulinimą bei vystymą ir suteikia galimybę pateikti kuo geresnius paslaugų pasiūlymus.
27. Asmens duomenys rinkodaros tikslais renkami, tvarkomi ir naudojami taip, kad neleistų atskleisti Duomenų subjekto asmens tapatybės arba kitų asmens duomenų, pagal kuriuos būtų galima nustatyti asmens tapatybę tretiesiems asmenims.
28. Draudžiama rinkti Duomenų subjekto asmens kodą tiesioginės rinkodaros tikslais.
29. Duomenų subjekto sutikimas dėl jo duomenų naudojimo tiesioginės rinkodaros tikslais galioja 24 mėn. nuo sutikimo pateikimo momento arba tol, kol Duomenų subjektas neatšaukia duoto sutikimo.
30. Bet kuriuo atveju, jeigu Duomenų subjektas, nepageidauja, kad jo pateikti duomenys (el. pašto adresas) būtų naudojamas Tiesioginės rinkodaros tikslais, Duomeų subjektas gali rašyti elektroninį laišką adresu inspired@brazzi.co arba siųsti atsisakymą registruotu paštu Vytenio g. 52, LT-03202 Vilnius ir nurodyti, kad nepageidauja gauti Tiesioginės rinkodaros pranešimų ir Bendrovės.
31. Bendrovė, įsipareigoja ne vėliau kaip kitą darbo dieną pašalinti Duomenų subjekto kontaktus iš reklaminius pranešimus siunčiančios duomenų bazės. Bet kuriuo atveju įrodinėjimo našta dėl gauto Duomenų subjekto sutikimo naudoti asmeninius duomenis rinkodaros tikslais tenka Bendrovei.
ASMENS DUOMENŲ SAUGUMAS IR TVARKYMAS
32. Vadovaudamiesi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Europos Sąjungos ir kt. duomenų apsaugą reglamentuojančiais teisės aktais, Bendrovė taiko priemones, kurios užkirstų kelią neteisėtai prieigai arba neteisėtam Duomenų subjekto duomenų panaudojimui. Bendrovė užtikrina, jog Duomenų subjekto pateikiami duomenys būtų apsaugoti nuo bet kokių neteisėtų veiksmų: neteisėto Asmens duomenų pakeitimo, atskleidimo ar sunaikinimo, asmens tapatybės vagystės, sukčiavimo bei, kad Asmens duomenų apsaugos lygis atitiktų Lietuvos Respublikos teisės aktų nustatytus reikalavimus.
33. Bendrovė naudoja atitinkamas verslo sistemas ir procedūras, leidžiančias apsaugoti ir ginti Duomenų subjekto Bendrovei patikėtus asmeninius duomenis. Bendrovė naudoja saugumo sistemas, technines ir fizines priemones, ribojančias prieigą prie Duomenų subjekto asmeninių duomenų ir jų panaudojimo Bendrovės serveriuose. Tik specialius leidimus turintys Bendrovės darbuotojai turi teisę matyti Duomenų subjekto asmeninius duomenis, pateiktus Į Bendrovei sutarčių pagrindu.
34. Asmens duomenys tvarkomi neautomatiniu būdu ir automatiniu būdu naudojant Bendrovėje įrengtas asmens duomenų tvarkymo priemones.
35. Bendrovė naudoja šias duomenų bazes/ programas valdant Asmens duomenis: Google drive programa, Visitorify rezervacijos sistema, MailerLite naujienlaiškių sistema, Trello ir Tresorit programose, Microsoft word/ excel programos. Prie visų šių programų prieigą turi tik atitinkamas darbuotojas, kuris pagal savo pareigybes turi teisę prisijungti prie sistemų prieš tai suvedus priskirtą slaptažodį ir (ar) prieiti prie užraktų saugomų popierinių asmens bylų/ rinkmenų.
36. Popierinėje laikmenoje laikomi dokumentai, susiję su darbuotojais specialiose rakinamose spintose prie kurių prieiga yra pilna apimtimi apribota. Kietasis diskas su duomenimis saugomas seife.
37. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai (visais atvejais ne rečiau kaip kas 3 (tris) mėn.), o taip pat susidarius tam tikroms aplinkybėms (pvz., pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.) slaptažodis turi būti pakeistas nedelsiant. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
38. Duomenų subjektų Asmens duomenys gali būti renkami ir saugomi tik Bendrovei nuosavybės teise priklausančiuose kompiuteriuose ar kitose informacinių technologijų priemonių įrenginiuose. Draudžiama saugoti Asmens duomenis asmeniniuose Darbuotojų įrenginiuose (pvz., telefonuose, planšetėse ar kt.).
39. Už kompiuterių priežiūrą atsakingas darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas privalo užtikrinti, kad asmens duomenų rinkmenos nebūtų „matomos“ (angl. shared) iš kitų kompiuterių, o antivirusinės programos atnaujinamos periodiškai.
40. Atsakingas už kompiuterių priežiūrą darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas daro kompiuteriuose esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas (ar) kompiuterių/sistemų priežiūros paslaugas teikiantis subjektas turi jas atstatyti ne vėliau kaip per 3 (tris) darbo dienas.
41. Darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia darbuotojo darbo ar panašaus pobūdžio sutartis su Bendrovė, arba kai Bendrovės vadovas atšaukia darbuotojo paskyrimą/ įgaliojimą tvarkyti asmens duomenis.
42. Duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra Asmens duomenų, saugomos rakinamose spintose arba seifuose. Dokumentai, kuriuose yra Asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje.
43. Siekdama užtikrinti Asmens duomenų apsaugą, Bendrovė įgyvendina arba numato įgyvendinti šias asmens duomenų apsaugos priemones:
43.1. Administracines (saugaus dokumentų ir kompiuterinių duomenų bei jų archyvų tvarkymo, taip pat įvairių veiklos sričių darbo organizavimo tvarkos nustatymas, personalo supažindinimas su asmens duomenų apsauga ir kt.);
43.2. Techninės ir programinės įrangos apsaugos (tarnybinių stočių, informacinių sistemų ir duomenų bazių administravimas, darbo vietų, Bendrovės patalpų priežiūra, operacinių sistemų apsauga, apsauga nuo kompiuterinių virusų ir kt.);
43.3. Komunikacijų ir kompiuterių tinklų apsaugos (bendro naudojimo duomenų, programų, nepageidaujamų duomenų paketų filtravimas (angl. firewalling) ir kt.).
44. Asmens duomenų apsaugos techninės ir programinės priemonės turi užtikrinti:
44.1. Operacinių sistemų ir duomenų bazių kopijų saugyklos įrengimą;
44.2. Nenutrūkstamo duomenų tvarkymo (apdorojimo) proceso technologiją;
44.3. Sistemų veiklos atnaujinimo nenumatytais atvejais strategiją (netikėtumų valdymas);
44.4. Autorizuotą duomenų naudojimą, jų nepažeidžiamumą.
45. Bendrovės pasitelkti Duomenų tvarkytojai ar Tretieji asmenys, kuriuos Bendrovė pasitelkė užsakytoms paslaugoms teikti turi garantuoti reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi. Informuoti Bendrovę apie ketinamas sudaryti sutartis su pagalbiniais duomenų tvarkytojais bei gauti išankstinius rašytinius Bendrovės sutikimus dėl jų paskyrimo.